Hvilke krav skal din virksomhed leve op til?
Hvis din virksomhed er en del af ovennævnte sektorer, er der fem ting, som I bør vide for at komme godt i gang med forberedelserne:
- Der er 10 risikostyringsforanstaltninger, som I skal leve op til
I skal sikre passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre sikkerhedsrisiciene i jeres netværk og IKT-systemer for at forhindre eller afbøde indvirkningen af cyberhændelser på forbrugere af jeres tjenesteydelser. Disse foranstaltninger omfatter:
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
- Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
- Anvendelse af multifaktorautentificering, sikret tale-, video- og tekstkommunikation
- Hændelseshåndtering
- Forsyningskædesikkerhed
- Politikker for risikoanalyse og informationssikkerhed
- Driftskontinuitet (fx backupstyring, reetablering og krisestyring)
- Anvendelse af kryptografi og kryptering
- Politikker/procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
- Sikkerhed ifm. erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
- Ledelsen skal stå til ansvar for jeres cybersikkerhed
Ledelsen i jeres organisation skal godkende de føromtalte risikostyringsforanstaltninger og skal derudover undervises i cybersikkerhed. Manglende overholdelse af risikostyringsforpligtelserne kan medføre en midlertidig udelukkelse fra udøvelse af ledelsesfunktioner.
- Strengere sanktionsregime
Manglende overholdelse af NIS2-kravene kan medføre mærkbare sanktioner. Sanktionerne kan være i form af bøder på op til 10 millioner euro (ca. 74 millioner kroner) eller op til 2 % af årsomsætningen, samt suspension af godkendelse til at udøve de aktiviteter eller de tjenesteydelser, som I sædvanligvis udbyder.
- Strengere tilsynsregime
NIS2 medfører et stærkt tilsyn med overholdelsen af kravene i direktivet. Det betyder, at jeres virksomhed kan blive mål for on-site og off-site tilsyn, herunder stikprøvekontroller, regelmæssig og målrettet revision, sikkerhedsscanninger, anmodninger om dataadgang m.m. Omfanget af tilsynene vil variere alt efter, om jeres organisation klassificeres som en vigtig eller væsentlig enhed, hvor væsentlige enheder har større tilsynsfokus.
- Strengere krav til indberetning af hændelser
I tilfælde af en cyberhændelse skal I kunne anmelde hændelsen til relevante myndigheder inden for 24 timer og udføre en hændelsesrapport inden for 72 timer. Rapporten skal indeholde en detaljeret fremstilling af hændelsen, angive trusselstypen eller grundårsagen, som sandsynligvis udløste hændelsen, samt en beskrivelse af de anvendte eller igangværende afbødende foranstaltninger.
Det er vigtigt, at jeres organisation er bekendt med de cybersikkerhedskrav, som I skal leve op til. Manglende efterlevelse heraf kan nemlig medføre alvorlige sanktioner. Det er dog også værd at huske på, at kravene i direktivet er til for at hjælpe med at beskytte jeres data, systemer og processer.
Derfor vil overholdelsen af kravene ikke blot være med til at forebygge sanktioner, men kan også bruges som en rettesnor i forhold til at opnå et højere sikkerhedsniveau, og derved skåne både jer, jeres kunder og forbrugerne fra de mest alvorlige afledte effekter og følgevirkninger af et evt. fremtidigt cyberangreb.
Kontakt
Har du spørgsmål hertil, er du meget velkommen til at kontakte os.