Brug D-mærket og bliv klar, når EU strammer reglerne for cybersikkerhed med nyt NIS2-direktiv

I 2024 træder et nyt it-sikkerhedsdirektiv i kraft (NIS2), der har til formål at højne it-sikkerheden og får konsekvenser for virksomheder inden for EU i 17 forskellige sektorer. Manglende efterlevelse kan give bøder på op til 2 procent af virksomhedens globale omsætning. Ifølge IT-Branchen vil ca. 1400 virksomheder blive berørt og hvis virksomhederne skal nå at blive klar til NIS2 er det en god idé at starte allerede nu – D-mærket kan bruges som værktøj.

Forbered dig på NIS2 med D-mærket

ForfatterD-mærket
Udgivet14.03.2023

Truslen fra cyberangreb stiger, i takt med at Europa bliver mere og mere digitaliseret. Cyberangreb og -nedbrud sker dagligt, og det er noget, der påvirker alles hverdag. Det er vigtigt for os alle sammen, at samfundet stadig er i stand til at fungere, selvom virksomheder og organisationer bliver ramt af cyberangreb.

NIS2-direktivet vil gøre virksomheder og organisationer mere ansvarlige, når det gælder cybersikkerhed, ved at stille krav om styring og forankring i ledelsen, højne sikkerheden hos virksomheder og organisationer og deres leverandører, strømline rapporteringsforpligtelser og indføre strengere tilsynsforanstaltninger og håndhævelse, herunder harmonisere sanktioner i hele EU.

Hvem er omfattet af NIS2-direktivet?

NIS2-direktivet gælder som udgangspunkt for virksomheder og organisationer, der arbejder indenfor “sektorer af særligt kritisk betydning” eller “andre kritiske sektorer”, og som leverer ydelser eller afvikler deres aktiviteter indenfor EU.

Kategorien “sektorer af særligt kritisk betydning” omfatter offentlige og private organisationer inden for følgende sektorer:

    01
  1. Energi (elektricitet, fjernvarme og fjernkøling, olie, gas og brint)
  2. 02
  3. Transport (luft, jernbane, vand og vejtransport)
  4. 03
  5. Bankvirksomhed (kreditinstitutter)
  6. 04
  7. Finansielle markedsinfrastrukturer (markedspladser)
  8. 05
  9. Sundhed (sundhedstjenesteydere, producenter af lægemidler, medicinsk udstyr mv.)
  10. 06
  11. Drikkevand
  12. 07
  13. Spildevand
  14. 08
  15. Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet- og tjenester)
  16. 09
  17. Forvaltning af IKT-tjenester (business-to-business)
  18. 10
  19. Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
  20. 11
  21. Rummet (operatører af jordbaseret infrastruktur).

Kategorien “andre kritiske sektorer” omfatter offentlige og private organisationer inden for:

    01
  1. Post- og kurertjenester
  2. 02
  3. Affaldshåndtering
  4. 03
  5. Fremstilling, produktion og distribution af kemikalier
  6. 04
  7. Produktion, tilvirkning og distribution af fødevarer
  8. 05
  9. Fremstilling af bl.a. medicinsk udstyr, computere, elektroniske og optiske produkter, elektrisk udstyr, maskiner, motorkøretøjer og andre transportmidler.
  10. 06
  11. Digitale udbydere (onlinemarkedspladser og -søgemaskiner samt platforme for sociale netværkstjenester)
  12. 07
  13. Forskning (forskningsinstitutioner)

I Danmark forventer IT-branchen, at ca. 1400 virksomheder vil være omfattet af NIS2-direktivet.

Hvad er de væsentligste elementer i NIS2-direktivet?

NIS2-direktivet omfatter krav til ledelsesmæssig styring og forankring, risikostyring og tilhørende sikkerhedsforanstaltninger samt underretningspligt og desuden krav til håndhævelse, tilsyn og tilhørende sanktioner ved mangelfuld efterlevelse.

Skærpede krav til styring og forankring i ledelsen

Med de nye regler stilles der skærpede krav til styring og forankring i ledelsen. Ledelsen får ansvar for at godkende foranstaltninger til styring af cybersikkerhedsrisici, føre tilsyn med dens gennemførelse og er ansvarlig for manglende overholdelse af krav og regler i NIS2-direktivet.

For at sikre de tilstrækkelige kompetencer skal ledelsesmedlemmer regelmæssigt følge konkrete kurser for at opnå tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på driften.

Minimumskrav til styring af cybersikkerhedsrisici

Virksomheden eller organisationen skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre cybersikkerhedsrisici og forhindre eller begrænse skaderne i tilfælde af en sikkerhedshændelse.

NIS2-direktivet anviser 10 overordnede minimumskrav, som virksomheder og organisationer skal leve op til:

    01
  1. Politikker for risikoanalyse og informationssystemsikkerhed
  2. 02
  3. Håndtering af hændelser
  4. 03
  5. Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
  6. 04
  7. Forsyningskædesikkerhed, herunder leverandørstyring/-sikkerhed
  8. 05
  9. Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  10. 06
  11. Politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  12. 07
  13. Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
  14. 08
  15. Politikker og procedurer vedrørende brug af kryptografi, og hvor relevant, kryptering
  16. 09
  17. Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
  18. 10
  19. Brug af løsninger med multifaktorautentificering eller kontinuerlige autentificering mv., ”hvor relevant”

Brug D-mærket som standard til at leve op til NIS2’s krav til styring og forankring i ledelsen samt minimumskrav

NIS2-direktivet tilskynder til, at virksomheder og organisationer bruger europæiske eller internationalt accepterede sikkerhedsstandarder eller EU-landenes egne nationale standarder, for at sikre, at direktivet efterleves.

Det stemmer overens med D-mærket, som bygger på europæiske og internationalt anerkendte standarder og rammeværker. Der er god overensstemmelse mellem D-mærkets kriterier og krav og NIS2-direktivets krav til hhv. styring og forankring i ledelsen samt krav til risikostyring og sikkerhedsforanstaltninger.

Download mapping af kravene fra NIS2 til D-mærkets kriterier og kontrolmål.

Hvad skal din virksomhed eller organisation gøre, for at forberede sig på NIS2?

    01
  1. Bliv oprettet i D-mærkets gratis selvevalueringsværktøj og få overblik over din virksomheds eller organisations udfordringer og nødvendige indsatsområder. Se hvordan her.
  2. 02
  3. Skab opbakning fra ledelsen, så der bliver afsat de rette ressourcer og brug D-mærket som styringsramme gennem hele processen. Læs, hvordan det anbefales at organisere arbejdet med D-mærket.
  4. 03
  5. Brug processen i D-mærkets selvevaluering til at implementere nødvendige tiltag samt at få dokumenteret kriterier og krav.
  6. 04
  7. Hold dig opdateret i sammenhængen mellem NIS2 og D-mærket i D-mærkets digitale mapping-værktøj (lanceres forår 2023).
  8. 05
  9. Gå i tilsyn og få D-mærket, så I har en 3. parts vurdering af jeres it-sikkerhed og ansvarlige dataanvendelse.
  10. 06
  11. Rapportér til Center for Cybersikkerhed ved relevante sikkerhedshændelser
  12. 07
  13. Hold øje med nyheder på D-mærkets LinkedIn eller tilmeld dig D-mærkets nyhedsbrev i bunden af hjemmesiden, hvor vi løbende vil kommunikere om NIS2 i forhold til D-mærket.

Mapping af NIS2-krav til D-mærkets kriterier

Download mapping af kravene fra NIS2 til D-mærkets kriterier og kontrolmål.