NIS 2: Cybersikkerhed stopper ikke ved installationen

Cybersikkerhed er ikke længere kun en intern disciplin. Med NIS 2 følger nye krav til dokumentation, risikostyring og samarbejde på tværs af værdikæden.

NIS 2 og leverandørkæden

Selvom din virksomhed ikke er direkte omfattet af NIS 2, kan du stadig blive påvirket via dine kunder.

Virksomheder inden for kritisk infrastruktur – fx hospitaler, transport og energi – er underlagt NIS 2. De skal ikke kun have styr på egen cybersikkerhed, men også kunne dokumentere, at deres leverandører lever op til relevante krav.

For virksomheder som Freund Elektronik, der leverer løsninger via installatører, betyder det, at cybersikkerhed ikke stopper ved leverancen.

  • Slutkunden har det overordnede ansvar for compliance.

  • Installatøren har ansvaret for korrekt installation og drift.

  • Leverandører som Freund bidrager med sikre produkter, opdateringer og nødvendig dokumentation.

Cybersikkerhed er derfor en fælles opgave i hele værdikæden.

Support- og opdateringsaftaler spiller her en afgørende rolle. De sikrer, at fx SIP-servere og cloud-baserede løsninger løbende opdateres, så sårbarheder minimeres og sikkerhedsniveauet opretholdes.

Hvis disse aftaler fravælges, overgår ansvaret for vedligeholdelse i praksis til installatøren eller slutkunden – med øget risiko og sværere compliance til følge.

Hvad er NIS 2?

NIS 2 er EU’s opdaterede direktiv for cybersikkerhed og en videreudvikling af det oprindelige NIS-direktiv fra 2016.

Formålet er at sikre et højt og ensartet niveau af net- og informationssikkerhed på tværs af EU – som svar på øget digitalisering og et stigende trusselsbillede.

Hvem er omfattet?

NIS 2 gælder primært for mellemstore og store virksomheder inden for samfundskritiske og vigtige sektorer, herunder:

  • Energi, transport og sundhed

  • Finans og digital infrastruktur

  • Offentlig forvaltning

  • Fødevareproduktion og affaldshåndtering

Også leverandører kan blive omfattet. Dette er typisk virksomheder med over 50 ansatte eller en omsætning over 10 mio. euro (ca 75 mio. kr.)

Slutkunden har det overordnede ansvar for compliance.

Installatøren har ansvaret for korrekt installation og drift.

Leverandører som Freund bidrager med sikre produkter, opdateringer og nødvendig dokumentation.

liverpool-street-station.jpg
girl-bridge.jpg
hospital.jpg
lufthavn2.jpg

De vigtigste krav

NIS 2 stiller konkrete krav til organisationers cybersikkerhed:

  • Risikostyring: Politikker og løbende vurdering af risici

  • Hændelseshåndtering: Evne til at opdage og håndtere angreb

  • Driftskontinuitet: Backup og beredskab

  • Forsyningskædesikkerhed: Kontrol med leverandører

  • Adgangskontrol: Sikker håndtering af brugere og systemer

  • Tekniske tiltag: Fx multifaktorautentificering og kryptering

  • Cyber awareness: Træning og sikker adfærd

Hvad betyder det i praksis?

Manglende efterlevelse kan føre til betydelige bøder og sanktioner. Niveauet afhænger af virksomhedens størrelse og kritikalitet.

Standarder som værktøj

NIS 2 gør cybersikkerhed til en ledelsesopgave – ikke kun en IT-opgave.
Det indebærer bl.a.:

  • Ledelsesforankring: Cybersikkerhed skal prioriteres og godkendes på ledelsesniveau

  • Dokumentation: Processer og sikkerhedsarbejde skal kunne dokumenteres

  • Risikovurdering: Løbende vurdering af trusler og sårbarheder

  • Hændelsesberedskab: Evne til at reagere hurtigt og effektivt

Det handler ikke kun om at være sikker – men om at kunne bevise det.

father-son-airport.jpg
tunnel.jpg
lufthavn1.jpg
train.jpg

Rapportering og ansvar

  • 24-timers underretningspligt:
    NIS 2-omfattede virksomheder skal rapportere alvorlige hændelser inden for 24 timer – og stiller derfor krav til deres leverandører om hurtig information.

  • Ledelsesansvar:
    Ledelsen har det overordnede ansvar for cybersikkerheden.

  • Tilsyn:
    Myndigheder fører øget kontrol med overholdelse.

For leverandører betyder det, at man skal kunne reagere hurtigt og levere relevant sikkerhedsinformation.

Sanktioner og bøder

Manglende efterlevelse kan føre til betydelige bøder og sanktioner – afhængigt af virksomhedens størrelse og kritikalitet.

Konklusion

NIS 2 betyder kort sagt, at cybersikkerhed bliver en forretningskritisk disciplin og at ansvaret ikke stopper ved installationen – men fortsætter i hele løsningens levetid.

Hvis du vil være på forkant med NIS 2 – og samtidig styrke dine løsninger - så er løbende opdatering og dokumenteret sikkerhed et rigtig godt sted at starte.