NIS2-direktivet introducerer omfattende overholdelsesforanstaltninger for at forbedre cybersikkerheden og modstandsdygtigheden af essentielle tjenester inden for EU. Disse NIS2-overholdelsesforanstaltninger er afg\u00f8rende for organisationer at tilpasse sig de stigende cybertrusler. Det erstatter den oprindelige NIS-direktiv og udvider omfanget ved at placere flere sektorer under strenge sikkerheds- og rapporteringsstandarder. Direktivet er et svar p\u00e5 de stigende globale trusler, s\u00e5som pandemier, geopolitiske konflikter og klima\u00e6ndringer, og understreger behovet for en harmoniseret tilgang til cybersikkerhed i Europa.<\/p>\n
I Holland er direktivet implementeret i Cyber Security Act (Cbw), som introducerer nye forpligtelser s\u00e5som registrering, omsorgspligt og meldepligt. Organisationer b\u00f8r forberede sig, da direktivet tr\u00e6der i kraft den 17. oktober 2024. Manglende overholdelse kan f\u00f8re til store b\u00f8der og andre sanktioner, hvor vigtige enheder bliver proaktivt overv\u00e5get. Implementeringen kr\u00e6ver en strategisk tilgang, hvor organisationer skal evaluere og styrke deres cybersikkerhedsforanstaltninger.<\/p>\n
NIS2-direktivet<\/a>, som er vedtaget af EU, er en opdateret og udvidet version af det oprindelige NIS-direktiv, som har til form\u00e5l at forbedre cybersikkerheden og modstandsdygtigheden for v\u00e6sentlige tjenester i EU’s medlemslande. NIS2-overholdelsesforanstaltningerne omfatter forpligtelser som registrering, omsorgspligt og h\u00e6ndelsesrapportering for at styrke den organisatoriske cybersikkerhed. Dette direktiv udvider anvendelsesomr\u00e5det ved at inkludere flere sektorer og fasts\u00e6tter strengere standarder for sikkerhed og rapportering af h\u00e6ndelser. Direktivet er i \u00f8jeblikket ved at blive implementeret i hollandsk lovgivning<\/a>.<\/p>\n \u00c5rsagen til NIS2-direktivet ligger i de seneste globale udviklinger, s\u00e5som covid-19-pandemien, krigen i Ukraine, stigende cybertrusler og virkningen af klima\u00e6ndringer, som l\u00e6gger pres p\u00e5 samfundets og \u00f8konomiens sikkerhed. Direktivet har til form\u00e5l at styrke EU-medlemsstaternes digitale og \u00f8konomiske modstandsdygtighed som svar p\u00e5 disse udfordringer.<\/p>\n NIS2-direktivet fokuserer p\u00e5 at reducere risici, der truer netv\u00e6rks- og informationssystemer, is\u00e6r inden for cybersikkerhed. Dette bidrager til mere europ\u00e6isk harmonisering og et h\u00f8jere niveau af cybersikkerhed for virksomheder og organisationer i EU. Direktivet erstatter det f\u00f8rste NIS-direktiv, som i Danmark blev indarbejdet i Lov om Sikkerhed af Netv\u00e6rks- og Informationssystemer (Wbni) i 2016. I Danmark bliver NIS2-direktivet oversat til Lov om Cybersikkerhed (Cbw), som erstatter Wbni.<\/p>\n Der er indf\u00f8rt en r\u00e6kke forpligtelser (hollandske) i NIS2- og CER-direktiverne. Organisationer, der er omfattet af NIS2-direktivet, skal registrere sig i et enhedsregister. Dette register, der administreres af det nationale cybersikkerhedscenter (NCSC), giver et europ\u00e6isk overblik over alle enheder, der er omfattet af direktivet.<\/p>\n NIS2-direktivet introducerer en omsorgspligt, der kr\u00e6ver, at organisationer udf\u00f8rer risikovurderinger og tager passende foranstaltninger for at beskytte deres tjenester og systemer baseret p\u00e5 disse vurderinger. Bestyrelsesmedlemmer i disse organisationer skal godkende disse foranstaltninger og overv\u00e5ge deres implementering, og de skal ogs\u00e5 gennemg\u00e5 tr\u00e6ning.<\/p>\n Derudover fasts\u00e6tter NIS2-direktivet en meddelelsesforpligtelse, der kr\u00e6ver, at organisationer rapporterer h\u00e6ndelser, der kan forstyrre kontinuiteten af essentielle tjenester, til en regulator inden for 24 timer. Cyberh\u00e6ndelser skal ogs\u00e5 rapporteres til Computer Security Incident Response Team (CSIRT), som kan yde st\u00f8tte. Der vil v\u00e6re et centralt rapporteringspunkt for rapporter gennem NCSC.<\/p>\n Endelig vil organisationer, der er d\u00e6kket af NIS2-direktivet, blive underlagt overv\u00e5gning. Dette indeb\u00e6rer, at deres overholdelse af forpligtelser, s\u00e5som omsorgspligt og meddelelsesforpligtelse, bliver kontrolleret. Det bliver i \u00f8jeblikket fastlagt, hvilke sektorer der vil falde under hvilke specifikke regulatorer.<\/p>\n Hvad er meget kritiske sektorer, andre kritiske sektorer, store organisationer, mellemstore organisationer, v\u00e6sentlige enheder, vigtige enheder, og hvad er undtagelserne fra reglen? Det forklarer vi her. For at tjekke direkte selv, om din organisation falder ind under NIS2, og i hvilken kategori, kan du bruge centralregeringens NIS2-selvtestv\u00e6rkt\u00f8j (p\u00e5 hollandsk)<\/a>. F\u00f8lgende billede er fra regeringens informationsark om Cyber Security Act (p\u00e5 hollandsk) og giver en god visuel pr\u00e6sentation af, hvad der diskuteres nedenfor.<\/p>\n Oversigt over sektorer, enheder og kriterier KILDE (hollandsk)<\/p>\n For at afg\u00f8re, om en organisation falder ind under NIS2-direktivet, anvender regeringen f\u00f8rst en opdeling (p\u00e5 hollandsk) mellem h\u00f8jtspecialiserede kritiske sektorer og andre kritiske sektorer. Afh\u00e6ngigt af organisationens st\u00f8rrelse afg\u00f8res det derefter, om en organisation falder ind under en v\u00e6sentlig enhed eller en vigtig enhed.<\/p>\n H\u00f8jt kritiske sektorer: Bilag 1 best\u00e5r af f\u00f8lgende sektorer:<\/p>\n Andre kritiske sektorer: Bilag 2 best\u00e5r af f\u00f8lgende sektorer:<\/p>\n Faller din organisation inden for en h\u00f8jt kritisk eller anden kritisk sektor? S\u00e5 skal du muligvis overholde NIS2-direktivet. Afh\u00e6ngigt af organisationens st\u00f8rrelse bestemmes det, selvom der kan v\u00e6re undtagelser.<\/p>\n Baseret p\u00e5 organisationens st\u00f8rrelse vil det blive bestemt, om organisationen er essentiel eller vigtig. Selvom ikke alt er afgjort endnu, er den store forskel, at essentielle organisationer vil v\u00e6re underlagt aktivt tilsyn, og vigtige enheder under retrospektivt tilsyn, hvis det er n\u00f8dvendigt. Uanset hvad betyder det, at du skal i gang, hvis din organisation falder under NIS2-direktivet.<\/p>\n Store organisationer har: 1) mindst 250 ansatte ELLER 2) en \u00e5rlig oms\u00e6tning p\u00e5 mere end 50 millioner euro og en balance p\u00e5 mere end 43 millioner euro.<\/p>\n En mellemstor organisation har: 1) mindst 50 ansatte ELLER 2) en \u00e5rlig oms\u00e6tning p\u00e5 mere end 10 millioner euro og en balance p\u00e5 mere end 10 millioner euro.<\/p>\n Nedenfor bruges sektorerne til at bestemme, om en organisation er essentiel eller vigtig. Der er nogle undtagelser fra de ovenst\u00e5ende regler. F\u00f8lgende organisationer er altid d\u00e6kket af Cybersecurity-loven: den offentlige sektor, udbydere af tillidstjenester, top-level dom\u00e6nenavnregistre, DNS-tjenesteudbydere, udbydere af dom\u00e6nenavnregistreringstjenester og udbydere af offentlige elektroniske kommunikationsnetv\u00e6rk og -tjenester. Derudover kan en minister stadig udpege en mindre virksomhed, der er d\u00e6kket af Cybersecurity-loven.<\/p>\n Store organisationer fra en sektor, der er listet i Bilag 1 (h\u00f8jt kritiske sektorer), er essentielle enheder. De n\u00e6vnte undtagelser, s\u00e5som regeringen, falder altid under essentielle enheder. Organisationer, der falder som ‘kritisk enhed’ under CER-direktivet, er ogs\u00e5 essentielle enheder.<\/p>\n De resterende organisationer klassificeres som vigtige organisationer. Dette omfatter mellemstore organisationer, der falder under en Bilag 1-sektor (h\u00f8jt kritisk), og store og mellemstore virksomheder, der falder under en Bilag 2-sektor (andre kritiske sektorer).<\/p>\n NIS2-direktivet blev vedtaget af EU i slutningen af 2022. EU har sat en deadline for alle medlemsstater den 17. oktober 2024. Nogle medlemsstater, s\u00e5som Tyskland, siger, at de vil overholde denne dato. Den hollandske regering har dog allerede i januar indikeret, at den ikke vil kunne overholde denne deadline. D. Yesilg\u00f6z-Zegerius, Minister for Retf\u00e6rdighed og Sikkerhed, skrev i et brev til Parlamentet (dansk): “Jeg sigter mod at pr\u00e6sentere lovforslagene for Deres Kammer i efter\u00e5ret i \u00e5r.”<\/p>\n At regeringen ikke vil kunne overholde deadline betyder dog ikke, at din organisation ikke b\u00f8r forberede sig. Ministeren har ogs\u00e5 p\u00e5peget, at tidlig forberedelse er afg\u00f8rende, givet den enorme mangel p\u00e5 cybersikkerhedsspecialister. Der er et andet ekstremt vigtigt punkt at overveje her, nemlig at organisationer i andre medlemsstater, der allerede er i overensstemmelse, allerede kan kr\u00e6ve overholdelse af NIS2. Belgien og Tyskland vil sandsynligvis overholde deadline, og disse er netop de vigtigste eksportlande for Danmark.<\/p>\n Kort sagt, hold dig til deadline den 17. oktober! P\u00e5 tidspunktet for skrivningen har din organisation kun to m\u00e5neder tilbage til fuldt ud at overholde alle kravene i NIS2-direktivet. Ingen grund til at bekymre sig endnu, men det er vigtigt at starte i g\u00e5r. Vi hj\u00e6lper gerne med det, sammen med vores netv\u00e6rk af partnere.<\/p>\n Udover potentielt tabt forretning kan du ogs\u00e5 st\u00e5 over for betydelige b\u00f8der, hvis du ikke overholder. For essentielle enheder vil dette sandsynligvis blive afsl\u00f8ret snart, da der er forudg\u00e5ende kontrol. For vigtige enheder kommer dette ofte f\u00f8rst frem efterf\u00f8lgende, hvilket m\u00e5ske er meget v\u00e6rre, da der allerede har v\u00e6ret et cybersikkerheds-incident, der medf\u00f8rer en revision. Organisationer, der ikke opfylder NIS2-overholdelsesforanstaltningerne, st\u00e5r over for betydelige b\u00f8der og operationelle risici.<\/p>\n Udover det faktum, at cybersikkerhed eller orden skal v\u00e6re p\u00e5 plads fra et ansvarsperspektiv, kan en organisation ogs\u00e5 st\u00e5 over for h\u00f8je b\u00f8der. Kapitel VII, Artikel 34 i NIS2-direktivet<\/a> n\u00e6vner b\u00f8der:<\/p>\n og<\/p>\n Derudover beskrives nogle gange vidtr\u00e6kkende h\u00e5ndh\u00e6velsesmidler, som regulatoren kan bruge, hvis lovgivningen ikke overholdes.<\/p>\n Ovenfor har vi kort n\u00e6vnt de fire forpligtelser, der er fastsat i Cybersecurity-loven: Registreringspligt, Meddelelsespligt, Tilsyn og den vigtigste: Omsorgspligt.<\/p>\n Brug ovenst\u00e5ende information til at afg\u00f8re, om din organisation er d\u00e6kket af Cybersecurity-loven. Regeringens selvvurderingsv\u00e6rkt\u00f8j (dansk)<\/a> kan ogs\u00e5 hj\u00e6lpe med dette. Nationalt Cyber Security Center (NCSC) arbejder i \u00f8jeblikket p\u00e5 et online registreringssystem, hvor organisationer kan registrere sig som NIS2-enheder. Dette vil ogs\u00e5 give et europ\u00e6isk overblik over NIS2-enheder.<\/p>\n Der oprettes ogs\u00e5 et centralt rapporteringspunkt af NCSC for rapporter. Dette vil g\u00f8re det muligt for organisationer nemt at rapportere h\u00e6ndelser til b\u00e5de regulatoren og Computer Security Incident Response Team (CSIRT), som tilbyder organisationer st\u00f8tte og r\u00e5dgivning i tilf\u00e6lde af et incident.<\/p>\n Betydelige h\u00e6ndelser skal rapporteres inden for 24 timer. En h\u00e6ndelse er if\u00f8lge Cybersecurity-loven betydelig, hvis den:<\/p>\n Reporting process KILDE (hollandsk)<\/p>\n Essentielle enheder er underlagt proaktivt tilsyn, dvs. selv n\u00e5r der ikke er h\u00e6ndelser. For vigtige enheder finder dette tilsyn sted retrospektivt, efter en h\u00e6ndelse. De v\u00e6rkt\u00f8jer, som regulatorer kan bruge til vigtige enheder, er: kontrolofficer, sikkerhedsscanning, sikkerhedsrevision, brudsmelding, bindende instruktion, ordre under administrativ ordning, anmodning om suspension af certificering eller licens, anmodning om suspension af bestyrelsesmedlemmer og en administrativ b\u00f8de.<\/p>\n Vigtige enheder kan blive udsat for en sikkerhedsscanning, sikkerhedsrevision, brudsmelding, bindende udpegning, ordre under administrativ ordning og en administrativ b\u00f8de.<\/p>\n Det sidste og vigtigste kriterium er omsorgspligt. Dette er, hvad du skal arbejde p\u00e5 med din organisation. Dette er minimumskravene, der skal reguleres. Derudover kan der v\u00e6re yderligere standarder og rammer for specifikke sektorer, s\u00e5som sundhedspleje eller regeringen. vBoxx hj\u00e6lper gerne med at gennemg\u00e5 din organisation for at finde ud af, hvad der specifikt skal g\u00f8res. Du vil modtage dette fra os i en rapport efterf\u00f8lgende. Du kan anmode om vores gratis NIS2-scanning<\/a> hos os og derefter bruge vores store netv\u00e6rk af partnere til at f\u00e5 hj\u00e6lp til at overholde hver foranstaltning.<\/p>\n Mange nyttige oplysninger og detaljerede beskrivelser og trin i disse foranstaltninger kan ogs\u00e5 findes p\u00e5 webstedet for Digital Trust Center (hollandsk)<\/a> under \u00f8konomi- og klimaministeriet. Oplysningerne nedenfor om foranstaltninger stammer ogs\u00e5 i vid udstr\u00e6kning fra denne hjemmeside.<\/p>\n Der er mange facetter involveret i at overholde den nye cybersikkerhedslov. Mange af de grundl\u00e6ggende systemer kan vedtages og leveres af vBoxx. T\u00e6nk p\u00e5 cloud-lagring, e-mail, kalendere, videoopkald, password management, servere, backup og mere. Sammen med vores partnernetv\u00e6rk kan mange foranstaltninger opn\u00e5s.<\/p>\n Vores partner Gart Solutions<\/a> er en IT-partner, der har specialiseret sig i opbygning af sikre og robuste infrastrukturer, cloud-migration, DevOPS, IT-konsulenttjenester og andre l\u00f8sninger til NIS2-overholdelse.<\/p>\n For komplekse systemer og problemer er de tilg\u00e6ngelige for at dele deres 15 \u00e5rs ekspertise med dig. Kombineret med vBoxx’s tjenester og infrastruktur sikrer dette en vandt\u00e6t l\u00f8sning for de vigtigste dele af din organisation!<\/p>\n Lad os t\u00e6nke med og planl\u00e6g NIS2-scanningen nedenfor. P\u00e5 den m\u00e5de kan vi sammen se p\u00e5 passende l\u00f8sninger og hvilke partnere der kan hj\u00e6lpe. Helt gratis og uden forpligtelser, selvf\u00f8lgelig!<\/p>\n L\u00e6s ogs\u00e5 blogindl\u00e6gget om NIS2<\/a>, og is\u00e6r foranstaltning 7: Sikkerhed i forsyningsk\u00e6den.<\/strong><\/p>\n \t\t\t\t\tISO 27001-certificeretHvem g\u00e6lder NIS2-direktivet for?<\/h2>\n
(H\u00f8jt) kritiske sektorer<\/h3>\n
\n
\n
Faller din organisation under NIS2?<\/h3>\n
Hvad er en mellemstor og stor virksomhed?<\/h4>\n
Essentiel eller Vigtig?<\/h4>\n
Hvorn\u00e5r tr\u00e6der Cybersecurity-loven i kraft?<\/h2>\n
Konsekvenser af manglende overholdelse<\/h2>\n
\n
\n
Konkrete skridt mod overholdelse<\/h2>\n
Registreringspligt<\/h3>\n
Meldepligt<\/h3>\n
Hvorn\u00e5r skal der rapporteres?<\/h4>\n
\n
Rapporteringsproces<\/h4>\n
\n
Tilsyn<\/h3>\n
Omsorgspligt<\/h3>\n
Dine n\u00e6ste skridt<\/h2>\n
Pr\u00f8v vores cloud-l\u00f8sning vBoxxCloud gratis i 2 uger! <\/h5>\n
\n\t\t\t\t\tV\u00e6rt i Holland
\n\t\t\t\t\tUdviklet til virksomheder
\n\t\t\t\t\t