NIS2: Cybersikkerhed og ansvar stopper ikke ved installationen

Cybersikkerhed er ikke længere kun en intern disciplin. Med NIS2 følger nye krav til dokumentation, risikostyring og samarbejde på tværs af værdikæden.

NIS2 og leverandørkæden

Selvom din virksomhed ikke er direkte omfattet af NIS2, kan du stadig blive påvirket via dine kunder.

Virksomheder inden for kritisk infrastruktur – fx hospitaler, transport og energi – er underlagt NIS2. De skal ikke kun have styr på egen cybersikkerhed, men også kunne dokumentere, at deres leverandører lever op til relevante krav.

For virksomheder som Freund Elektronik, der leverer løsninger via installatører, betyder det, at cybersikkerhed ikke stopper ved leverancen.

  • Slutkunden har det overordnede ansvar for compliance (regelefterlevelse).

  • Installatøren har ansvaret for korrekt installation og drift.

  • Leverandører som Freund bidrager med sikre produkter, opdateringer og nødvendig dokumentation.

Cybersikkerhed er derfor en fælles opgave i hele værdikæden.

Support- og opdateringsaftaler spiller her en afgørende rolle. De sikrer, at fx SIP-servere og cloud-baserede løsninger løbende opdateres, så sårbarheder minimeres og sikkerhedsniveauet opretholdes.

Hvis disse aftaler fravælges, overgår ansvaret for vedligeholdelse i praksis til installatøren eller slutkunden – med øget risiko og sværere compliance til følge.

Hvad er NIS2?

NIS2 er EU’s opdaterede direktiv for cybersikkerhed og en videreudvikling af det oprindelige NIS-direktiv fra 2016.

Formålet er at sikre et højt og ensartet niveau af net- og informationssikkerhed på tværs af EU – som svar på øget digitalisering og et stigende trusselsbillede.

Hvem er omfattet?

NIS2 gælder primært for mellemstore og store virksomheder inden for samfundskritiske og vigtige sektorer, herunder:

  • Energi, transport og sundhed

  • Finans og digital infrastruktur

  • Offentlig forvaltning

  • Fødevareproduktion og affaldshåndtering

NIS2-direktivet kan være relevant for jeres virksomhed, hvis I har mere end 50 ansatte eller en omsætning/balance over 10 mio. €, og samtidig opererer inden for en samfundskritisk eller vigtig sektor som fx energi, transport, sundhed, finans, digital infrastruktur eller offentlig forvaltning.

I kan dog også være omfattet, selv som mindre virksomhed, hvis I leverer kritiske tjenester eller indgår som en central del af en forsyningskæde.

Det er derfor vigtigt at vurdere jeres rolle, ikke kun jeres størrelse.

Slutkunden har det overordnede ansvar for compliance.

Installatøren har ansvaret for korrekt installation og drift.

Leverandører som Freund bidrager med sikre produkter, opdateringer og nødvendig dokumentation.

liverpool-street-station.jpg
girl-bridge.jpg
hospital.jpg
lufthavn2.jpg

De vigtigste krav

NIS2 stiller konkrete krav til organisationers cybersikkerhed:

  • Risikostyring: Politikker og løbende vurdering af risici

  • Hændelseshåndtering: Evne til at opdage og håndtere angreb

  • Driftskontinuitet: Backup og beredskab

  • Forsyningskædesikkerhed: Kontrol med leverandører

  • Adgangskontrol: Sikker håndtering af brugere og systemer

  • Tekniske tiltag: Fx multifaktorautentificering og kryptering

  • Cyber awareness: Træning og sikker adfærd

Hvad betyder det i praksis?

NIS2 gør cybersikkerhed til en ledelsesopgave – ikke kun en IT-opgave.
Det indebærer bl.a.:

  • Ledelsesforankring: Cybersikkerhed skal prioriteres og godkendes på ledelsesniveau

  • Dokumentation: Processer og sikkerhedsarbejde skal kunne dokumenteres

  • Risikovurdering: Løbende vurdering af trusler og sårbarheder

  • Hændelsesberedskab: Evne til at reagere hurtigt og effektivt

Det handler ikke kun om at være sikker – men om at kunne bevise det.

father-son-airport.jpg
tunnel.jpg
lufthavn1.jpg
train.jpg

Rapportering og ansvar

  • 24-timers underretningspligt:
    NIS2-omfattede virksomheder skal rapportere alvorlige hændelser inden for 24 timer – og stiller derfor krav til deres leverandører om hurtig information.

  • Ledelsesansvar:
    Ledelsen har det overordnede ansvar for cybersikkerheden.

  • Tilsyn:
    Myndigheder fører øget kontrol med overholdelse.

For leverandører betyder det, at man skal kunne reagere hurtigt og levere relevant sikkerhedsinformation.

Sanktioner og bøder

Manglende efterlevelse kan føre til betydelige bøder og sanktioner – afhængigt af virksomhedens størrelse og kritikalitet.

Konklusion

NIS2 betyder kort sagt, at cybersikkerhed bliver en forretningskritisk disciplin og at ansvaret ikke stopper ved installationen – men fortsætter i hele løsningens levetid.

Hvis du vil være på forkant med NIS2 – og samtidig styrke dine løsninger - så er løbende opdatering og dokumenteret sikkerhed et rigtig godt sted at starte.

Er NIS2 og CRA det samme?

Det korte svar er nej, det er ikke det samme, men de hænger uløseligt sammen.

NIS2 og Cyber Resilience Act (CRA) er begge centrale EU-reguleringer inden for cybersikkerhed, men de adresserer forskellige områder. Hvor NIS2 stiller krav til organisationers risikostyring og sikkerhed i driften, fokuserer CRA på sikkerheden i produkter med digitale elementer.

Samlet set bidrager de til at styrke cybersikkerheden på tværs af både virksomheder og de teknologier, de anvender og leverer.

Du kan læse meget mere om Cyber Resilience Act her