NIS2 er et EU-direktiv (2022/2555), der har til formål at øge sikkerheden i netværk og informationssystemer for socialt vigtige tjenester. NIS2 erstatter det tidligere EU-direktiv 2016/1148 (NIS) og vil skabe en mere ensartet lovgivningsramme i hele EU for informationssikkerhed for samfundskritiske tjenester.
Hovedformålet med NIS2 er at sikre samfundets evne til at levere samfundskritiske tjenester, uanset om de leveres af private eller offentlige enheder.
Hjørnestenene i NIS2 er stadig en systematisk tilgang til informationssikkerhed, der er risikobaseret, hvilket normalt opnås gennem etablering af et Information Security Management System (ISMS).
Medlemsstaterne får også et større ansvar for at støtte organisationerne, der er omfattet af NIS2, både gennem information, men også f.eks. overvågning af sårbarheder.
Et EU-direktiv fastsætter det forventede resultat, som medlemsstaterne skal opnå, hvor hver medlemsstat selv beslutter form og tilgang til gennemførelsen.
Hver medlemsstat er ansvarlig for at opdatere sin lokale lovgivning for at inkludere kravene i NIS2-direktivet, hvilket kan medføre visse lokale variationer eller udvidelser af EU-direktivet. Direktivet er dog oprettet for at modvirke den store variation, der har eksisteret for NIS-lovgivningerne i de forskellige medlemsstater.
Direktivet fastslår, at hver medlemsstat bør føre en registrering over organisationer, der er omfattet af NIS2, hvor både administrativ og teknisk information bør indsamles, herunder kontaktoplysninger og IP-adresseområder.
For organisationer, der er omfattet af NIS2, men som ikke overholder lovgivningen, kan der pålægges sanktionsbøder. For væsentlige enheder kan bøden være op til 10 millioner euro eller 2 % af den globale omsætning. For vigtige enheder er sanktionsbøden højst 7 millioner euro eller 1,4 % af den globale omsætning.
Det forventes, at hver medlemsstat etablerer Computer Security Incident Response Teams (CSRIT), som skal samarbejde med andre CSIRT'er inden for EU, for at udvide deres evne til at håndtere hændelser inden for netværk og informationssystemer. CSIRT'erne skal arbejde mere proaktivt og støttende i forhold til tidligere direktiver.
NIS2-direktivet træder i kraft den 18. oktober 2024, hvilket betyder, at meget af arbejdet med at tilpasse arbejdet med informationssikkerhed og cybersikkerhed skal påbegyndes i god tid inden denne dato for at sikre en rettidig implementering.
NIS2 er mere præcis end NIS med hensyn til, hvilke enheder der er omfattet, og antallet af sektorer, der er omfattet, er blevet udvidet i forhold til NIS. Inden for sektorer, der anses for samfundskritiske og overstiger niveauerne for mellemstore virksomheder i henhold til artikel 2.1 i 2003/361, hvilket svarer til mere end 50 ansatte og/eller en årlig omsætning på over 10 millioner EUR, er omfattet af NIS2. Ved vurdering af størrelsen er det normalt hele koncernens størrelse, der vurderes. Punkt 16 i NIS2-direktivet åbner mulighed for undtagelser i tilfælde, hvor det kan påvises, at den berørte virksomhed er tilstrækkeligt adskilt fra resten af koncernen med hensyn til netværks- og informationssystemer.
For en komplet liste over enheder, der er omfattet af NIS2, se vores bilag her (Svensk).
Cegals konsulenter inden for informationssikkerhed og cybersikkerhed har erfaring med at etablere ledelsessystemer for informationssikkerhed til overholdelse af både NIS og andre regulerende regelsæt.
Derudover kan Cegals eksperter inden for cybersikkerhed guide og navigere dig gennem det komplekse tekniske område. Vi kan hjælpe dig med at være et skridt foran, når det kommer til at sikre din IT-infrastruktur, med dybdegående viden om driftsteknologi (OT), cloud-infrastruktur og platforme, hybridløsninger og multi-cloud-infrastruktur. Vores dedikerede leveringsområder tilbyder et bredt udvalg af sikkerhedsløsninger til at beskytte og overvåge kritiske funktioner og sikre kontinuitet i virksomheden.