Schedule a demo
Infrastructure: Online
+31 70 206 00 91
Contact Us
NIS2 & Cbw: Grundlæggende og foranstaltninger til overholdelse
-
0

NIS2 & Cbw: Grundlæggende og foranstaltninger til overholdelse

vBoxx vBoxx
NIS2 & CbwNIS2 Guides & Tips
januar 15, 2025

NIS2-direktivet introducerer omfattende overholdelsesforanstaltninger for at forbedre cybersikkerheden og modstandsdygtigheden af essentielle tjenester inden for EU. Disse NIS2-overholdelsesforanstaltninger er afgørende for organisationer at tilpasse sig de stigende cybertrusler. Det erstatter den oprindelige NIS-direktiv og udvider omfanget ved at placere flere sektorer under strenge sikkerheds- og rapporteringsstandarder. Direktivet er et svar på de stigende globale trusler, såsom pandemier, geopolitiske konflikter og klimaændringer, og understreger behovet for en harmoniseret tilgang til cybersikkerhed i Europa.

I Holland er direktivet implementeret i Cyber Security Act (Cbw), som introducerer nye forpligtelser såsom registrering, omsorgspligt og meldepligt. Organisationer bør forberede sig, da direktivet træder i kraft den 17. oktober 2024. Manglende overholdelse kan føre til store bøder og andre sanktioner, hvor vigtige enheder bliver proaktivt overvåget. Implementeringen kræver en strategisk tilgang, hvor organisationer skal evaluere og styrke deres cybersikkerhedsforanstaltninger.

Hvad er NIS2-overholdelsesforanstaltningerne?

NIS2-direktivet, som er vedtaget af EU, er en opdateret og udvidet version af det oprindelige NIS-direktiv, som har til formål at forbedre cybersikkerheden og modstandsdygtigheden for væsentlige tjenester i EU’s medlemslande. NIS2-overholdelsesforanstaltningerne omfatter forpligtelser som registrering, omsorgspligt og hændelsesrapportering for at styrke den organisatoriske cybersikkerhed. Dette direktiv udvider anvendelsesområdet ved at inkludere flere sektorer og fastsætter strengere standarder for sikkerhed og rapportering af hændelser. Direktivet er i øjeblikket ved at blive implementeret i hollandsk lovgivning.

Årsagen til NIS2-direktivet ligger i de seneste globale udviklinger, såsom covid-19-pandemien, krigen i Ukraine, stigende cybertrusler og virkningen af klimaændringer, som lægger pres på samfundets og økonomiens sikkerhed. Direktivet har til formål at styrke EU-medlemsstaternes digitale og økonomiske modstandsdygtighed som svar på disse udfordringer.

NIS2-direktivet fokuserer på at reducere risici, der truer netværks- og informationssystemer, især inden for cybersikkerhed. Dette bidrager til mere europæisk harmonisering og et højere niveau af cybersikkerhed for virksomheder og organisationer i EU. Direktivet erstatter det første NIS-direktiv, som i Danmark blev indarbejdet i Lov om Sikkerhed af Netværks- og Informationssystemer (Wbni) i 2016. I Danmark bliver NIS2-direktivet oversat til Lov om Cybersikkerhed (Cbw), som erstatter Wbni.

A Der er indført en række forpligtelser (hollandske) inden for NIS2- og CER-direktiverne. Organisationer, der er omfattet af NIS2-direktivet, skal registrere sig i et enhedsregister. Dette register, der administreres af det nationale cybersikkerhedscenter (NCSC), giver et europæisk overblik over alle enheder, der er omfattet af direktivet.

NIS2-direktivet introducerer en omsorgspligt, der kræver, at organisationer udfører risikovurderinger og tager passende foranstaltninger for at beskytte deres tjenester og systemer baseret på disse vurderinger. Bestyrelsesmedlemmer i disse organisationer skal godkende disse foranstaltninger og overvåge deres implementering, og de skal også gennemgå træning.

Derudover fastsætter NIS2-direktivet en meddelelsesforpligtelse, der kræver, at organisationer rapporterer hændelser, der kan forstyrre kontinuiteten af essentielle tjenester, til en regulator inden for 24 timer. Cyberhændelser skal også rapporteres til Computer Security Incident Response Team (CSIRT), som kan yde støtte. Der vil være et centralt rapporteringspunkt for rapporter gennem NCSC.

Endelig vil organisationer, der er dækket af NIS2-direktivet, blive underlagt overvågning. Dette indebærer, at deres overholdelse af forpligtelser, såsom omsorgspligt og meddelelsesforpligtelse, bliver kontrolleret. Det bliver i øjeblikket fastlagt, hvilke sektorer der vil falde under hvilke specifikke regulatorer.

Hvem gælder NIS2-direktivet for?

Hvad er meget kritiske sektorer, andre kritiske sektorer, store organisationer, mellemstore organisationer, væsentlige enheder, vigtige enheder, og hvad er undtagelserne fra reglen? Det forklarer vi her. Hvis du selv vil tjekke, om din organisation falder ind under NIS2 og i hvilken kategori, kan du bruge centralregeringens NIS2-værktøj til selvevaluering (hollandsk). Hvis du er visuelt anlagt, Download regeringens informationsblad (hollandsk) om obligatorisk registrering med flowdiagram for at afgøre, om din organisation skal overholde reglerne her. Følgende billede er fra regeringens Cyber Security Act infosheet (hollandsk) og giver en fin visuel præsentation af det, der diskuteres nedenfor.

Oversigt over sektorer og enheder

Oversigt over sektorer, enheder og kriterier.  SOURCE (hollandsk)

For at afgøre, om en organisation falder ind under NIS2-direktivet, skal regeringen først bruger en skelnen (hollandsk) mellem meget kritiske sektorer og andre kritiske sektorer. Afhængigt af organisationens størrelse afgøres det derefter, om en organisation falder ind under en væsentlig enhed eller en vigtig enhed.

(Højt) kritiske sektorer

Højt kritiske sektorer: Bilag 1 består af følgende sektorer:

  • Energi
  • Vervoer
  • Bankwezen
  • Infrastruktur for finansielle markeder
  • Sundhedspleje
  • Drikkevand
  • Digital infrastruktur
  • Ledere af ICT-tjenester
  • Spildevand
  • Regeringstjenester
  • Lokale myndigheder
  • Rumfart

Andre kritiske sektorer: Bilag 2 består af følgende sektorer:

  • Digitale udbydere
  • Post- og kureretjenester
  • Affaldshåndtering
  • Fødevareprodukter
  • Kemikalier
  • Forskning
  • Manufacturing

Faller din organisation inden for en højt kritisk eller anden kritisk sektor? Så skal du muligvis overholde NIS2-direktivet. Afhængigt af organisationens størrelse bestemmes det, selvom der kan være undtagelser.

Faller din organisation under NIS2?

Baseret på organisationens størrelse vil det blive bestemt, om organisationen er essentiel eller vigtig. Selvom ikke alt er afgjort endnu, er den store forskel, at essentielle organisationer vil være underlagt aktivt tilsyn, og vigtige enheder under retrospektivt tilsyn, hvis det er nødvendigt. Uanset hvad betyder det, at du skal i gang, hvis din organisation falder under NIS2-direktivet.

Hvad er en mellemstor og stor virksomhed?

Store organisationer har: 1) mindst 250 ansatte ELLER 2) en årlig omsætning på mere end 50 millioner euro og en balance på mere end 43 millioner euro.

En mellemstor organisation har: 1) mindst 50 ansatte ELLER 2) en årlig omsætning på mere end 10 millioner euro og en balance på mere end 10 millioner euro.

Nedenfor bruges sektorerne til at bestemme, om en organisation er essentiel eller vigtig. Der er nogle undtagelser fra de ovenstående regler. Følgende organisationer er altid dækket af Cybersecurity-loven: den offentlige sektor, udbydere af tillidstjenester, top-level domænenavnregistre, DNS-tjenesteudbydere, udbydere af domænenavnregistreringstjenester og udbydere af offentlige elektroniske kommunikationsnetværk og -tjenester. Derudover kan en minister stadig udpege en mindre virksomhed, der er dækket af Cybersecurity-loven.

Essentiel eller Vigtig?

Store organisationer fra en sektor, der er listet i Bilag 1 (højt kritiske sektorer), er essentielle enheder. De nævnte undtagelser, såsom regeringen, falder altid under essentielle enheder. Organisationer, der falder som ‘kritisk enhed’ under CER-direktivet, er også essentielle enheder.

De resterende organisationer klassificeres som vigtige organisationer. Dette omfatter mellemstore organisationer, der falder under en Bilag 1-sektor (højt kritisk), og store og mellemstore virksomheder, der falder under en Bilag 2-sektor (andre kritiske sektorer).

Hvornår træder Cybersecurity-loven i kraft?

NIS2-direktivet blev vedtaget af EU i slutningen af 2022. EU har sat en deadline for alle medlemslande til den 17. oktober 2024. Nogle medlemslande, f.eks. Tyskland, siger, at de vil overholde denne dato. Men den hollandske regering har allerede i januar antydet, at den ikke vil overholde denne deadline. D. Yesilgöz-Zegerius, justits- og sikkerhedsminister, skrev i et brev til Parlamentet (hollandsk): “Det er mit mål at fremlægge lovforslagene for Parlamentet i efteråret.”

At regeringen ikke vil kunne overholde deadline betyder dog ikke, at din organisation ikke bør forberede sig. Ministeren har også påpeget, at tidlig forberedelse er afgørende, givet den enorme mangel på cybersikkerhedsspecialister. Der er et andet ekstremt vigtigt punkt at overveje her, nemlig at organisationer i andre medlemsstater, der allerede er i overensstemmelse, allerede kan kræve overholdelse af NIS2. Belgien og Tyskland vil sandsynligvis overholde deadline, og disse er netop de vigtigste eksportlande for Danmark.

Kort sagt, hold dig til deadline den 17. oktober! På tidspunktet for skrivningen har din organisation kun to måneder tilbage til fuldt ud at overholde alle kravene i NIS2-direktivet. Ingen grund til at bekymre sig endnu, men det er vigtigt at starte i går. Vi hjælper gerne med det, sammen med vores netværk af partnere.

Konsekvenser af manglende overholdelse

Udover potentielt tabt forretning kan du også stå over for betydelige bøder, hvis du ikke overholder. For essentielle enheder vil dette sandsynligvis blive afsløret snart, da der er forudgående kontrol. For vigtige enheder kommer dette ofte først frem efterfølgende, hvilket måske er meget værre, da der allerede har været et cybersikkerheds-incident, der medfører en revision. Organisationer, der ikke opfylder NIS2-overholdelsesforanstaltningerne, står over for betydelige bøder og operationelle risici.

Ud over at cybersikkerheden skal være i orden ud fra et ansvarssynspunkt, kan en organisation også risikere høje bøder. Kapitel VII, artikel 34 i NIS2-direktivet nævner bøder:

  • “Ikke mindre end 10.000.000 EUR eller ikke mindre end 2 % af den samlede årlige globale omsætning i det forudgående regnskabsår for det selskab, som den essentielle enhed tilhører, alt efter hvilket beløb der er højest.”

og

  • “Med et maksimumbeløb på mindst 7.000.000 EUR eller mindst 1,4 % af den samlede årlige globale omsætning i det forudgående regnskabsår for det selskab, som den vigtige enhed tilhører, alt efter hvilket beløb der er højest.”

Derudover beskrives nogle gange vidtrækkende håndhævelsesmidler, som regulatoren kan bruge, hvis lovgivningen ikke overholdes.

Konkrete skridt mod overholdelse

Ovenfor har vi kort nævnt de fire forpligtelser, der er fastsat i Cybersecurity-loven: Registreringspligt, Meddelelsespligt, Tilsyn og den vigtigste: Omsorgspligt.

Registreringspligt

Brug oplysningerne ovenfor til at afgøre, om din organisation er omfattet af cybersikkerhedsloven. Regeringens Selvvurderingsværktøjet (hollandsk) kan også hjælpe med dette. National CyberSecurity Centre (NCSC) arbejder i øjeblikket på et online registreringssystem, hvor organisationer kan registrere sig som NIS2-enheder. Dette vil også give et europæisk overblik over NIS2-enheder.

Meldepligt

Der oprettes også et centralt rapporteringspunkt af NCSC for rapporter. Dette vil gøre det muligt for organisationer nemt at rapportere hændelser til både regulatoren og Computer Security Incident Response Team (CSIRT), som tilbyder organisationer støtte og rådgivning i tilfælde af et incident.

Hvornår skal der rapporteres?

Væsentlige hændelser skal rapporteres inden for 24 timer. En hændelse er, ifølge Cybersecurity Act, væsentlig, hvis den:

  1. har forårsaget eller kan forårsage alvorlige operationelle forstyrrelser af tjenester eller økonomiske tab for den berørte enhed; eller
  2. har påvirket eller kan påvirke andre enheder ved at forårsage betydelig materiel eller immateriel skade

Rapporteringsproces

Rapporteringsproces

Rapporteringsproces.  SOURCE(hollandsk)

  1. Inden for 24 timer bør der udstedes en tidlig advarsel om, hvorvidt det er en (ondskabsfuld) hændelse med potentiel (betydelig) påvirkning.
  2. Inden for 72 timer bør der afgives en officiel rapport med vurdering af hændelsen, indvirkningen og IoC’er (Indicators of Compromise, som beskriver tegn og beviser på hændelser).
  3. En midlertidig statusrapport kan anmodes om af CSIRT eller relevant kompetent myndighed.
  4. En slutrapport bør udarbejdes inden for 1 måned efter hændelsen. Hvis hændelsen stadig er i gang efter en måned, er en fremskridtsrapport tilstrækkelig. Det slutrapport vil derefter følge senere.

Tilsyn

Essentielle enheder er underlagt proaktivt tilsyn, dvs. selv når der ikke er hændelser. For vigtige enheder finder dette tilsyn sted retrospektivt, efter en hændelse. De værktøjer, som regulatorer kan bruge til vigtige enheder, er: kontrolofficer, sikkerhedsscanning, sikkerhedsrevision, brudsmelding, bindende instruktion, ordre under administrativ ordning, anmodning om suspension af certificering eller licens, anmodning om suspension af bestyrelsesmedlemmer og en administrativ bøde.

Vigtige enheder kan blive udsat for en sikkerhedsscanning, sikkerhedsrevision, brudsmelding, bindende udpegning, ordre under administrativ ordning og en administrativ bøde.

Omsorgspligt

Det sidste er det vigtigste kriterium, nemlig omsorgspligt. Det er det, du skal arbejde med i din organisation. Det er det absolutte minimum, der skal reguleres. Derudover kan der være yderligere standarder og rammer for specifikke sektorer, f.eks. sundhedsvæsenet eller det offentlige. vBoxx hjælper gerne med at gennemgå din organisation for at finde ud af, hvad der specifikt skal gøres. Du vil modtage dette fra os i en rapport bagefter. Du kan Anmod om vores gratis NIS2-scanning fra os, og så kan du bruge vores store netværk af partnere til at få hjælp til at overholde hvert enkelt tiltag.

Mange nyttige oplysninger og detaljerede beskrivelser og trin af disse foranstaltninger kan også findes på Hjemmeside for Digital Trust Center (hollandsk) under Økonomi- og Klimaministeriet. Oplysningerne nedenfor om foranstaltninger stammer også i vid udstrækning fra denne hjemmeside.

Dine næste skridt

Der er mange facetter involveret i at overholde den nye cybersikkerhedslov. Mange af de grundlæggende systemer kan vedtages og leveres af vBoxx. Tænk på cloud-lagring, e-mail, kalendere, videoopkald, password management, servere, backup og mere. Sammen med vores partnernetværk kan mange foranstaltninger opnås.

Vores partner  GartSolutions er en it-partner, der har specialiseret sig i sikker og robust infrastrukturopsætning, cloud-migration, DevOPS, it-rådgivning og andre løsninger til NIS2-compliance.

For komplekse systemer og problemer er de tilgængelige for at dele deres 15 års ekspertise med dig. Kombineret med vBoxx’s tjenester og infrastruktur sikrer dette en vandtæt løsning for de vigtigste dele af din organisation!

Lad os tænke med og planlæg NIS2-scanningen nedenfor. På den måde kan vi sammen se på passende løsninger og hvilke partnere der kan hjælpe. Helt gratis og uden forpligtelser, selvfølgelig!

Også Se vores webinar , som vi holdt om NIS2 og især foranstaltning 7: Sikkerhed i forsyningskæden. Eller Læs blogindlægget om foranstaltning 7.

Prøv vores cloud-løsning vBoxxCloud gratis i 2 uger!
ISO 27001-certificeret
Vært i Holland
Udviklet til virksomheder
Start forsøg
Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *