Tilbage til oversigt
Artikel

Brug D-mærket og bliv klar, når EU strammer reglerne for cybersikkerhed med nyt NIS2-direktiv

Forbered dig på nis2 med D-mærket

Tirsdag d. 22. nov. 2022

Opdateres løbende ved væsentlige ændringer ang. NIS2-direktivet

I 2024 træder et nyt it-sikkerhedsdirektiv i kraft (NIS2), der har til formål at højne it-sikkerheden og får konsekvenser for virksomheder inden for EU i 17 forskellige sektorer. Manglende efterlevelse kan give bøder på op til 2 procent af virksomhedens globale omsætning. Ifølge IT-Branchen vil ca. 1400 virksomheder blive berørt og hvis virksomhederne skal nå at blive klar til NIS2 er det en god idé at starte allerede nu – D-mærket kan bruges som værktøj.

Truslen fra cyberangreb stiger, i takt med at Europa bliver mere og mere digitaliseret. Cyberangreb og -nedbrud sker dagligt, og det er noget, der påvirker alles hverdag. Det er vigtigt for os alle sammen, at samfundet stadig er i stand til at fungere, selvom virksomheder og organisationer bliver ramt af cyberangreb.

NIS2-direktivet vil gøre virksomheder og organisationer mere ansvarlige, når det gælder cybersikkerhed, ved at stille krav om styring og forankring i ledelsen, højne sikkerheden hos virksomheder og organisationer og deres leverandører, strømline rapporteringsforpligtelser og indføre strengere tilsynsforanstaltninger og håndhævelse, herunder harmonisere sanktioner i hele EU.


Hvem er omfattet af NIS2-direktivet?
NIS2-direktivet gælder som udgangspunkt for virksomheder og organisationer, der arbejder indenfor “sektorer med høj kritikalitet” eller “andre kritiske sektorer”, og som leverer ydelser eller afvikler deres aktiviteter indenfor EU.

Kategorien “sektorer med høj kritikalitet” omfatter offentlige og private organisationer inden for følgende sektorer:

  1. Energi (elektricitet, fjernvarme, olie, gas og brint)
  2. Transport (luft, jernbane, vand og vej)
  3. Bankvirksomhed (kreditinstitutter)
  4. Finansielle markedsinfrastrukturer (markedspladser)
  5. Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.)
  6. Drikkevand
  7. Spildevand
  8. Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
  9. Informations- og kommunikationstjenesteudbydere (ICT-services, business-to-business)
  10. Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
  11. Rummet (operatører af jordbaseret infrastruktur).

Kategorien “andre kritiske sektorer” omfatter offentlige og private organisationer inden for:

  1. Post- og kurertjenester
  2. Affaldshåndtering
  3. Fremstilling, produktion og distribution af kemikalier
  4. Fremstilling, bearbejdning og distribution af fødevarer
  5. Fremstilling af bl.a. medicinsk udstyr, computere, elektroniske og optiske produkter, elektrisk udstyr, maskiner, motorkøretøjer og andet transportudstyr
  6. Udbydere af visse digitale tjenester (onlinemarkedspladser og -søgemaskiner samt sociale netværkstjenester)
  7. Forskning (højere læreanstalter og forskningsinstitutioner)

I Danmark forventer IT-branchen, at ca. 1400 virksomheder vil være omfattet af NIS2-direktivet.


Hvad er de væsentligste elementer i NIS2-direktivet?
Direktivet omfatter krav til ledelsesmæssig styring og forankring, risikostyring og tilhørende sikkerhedsforanstaltninger samt underretningspligt og desuden krav til håndhævelse, tilsyn og tilhørende sanktioner ved mangelfuld efterlevelse.

Skærpede krav til styring og forankring i ledelsen
Med de nye regler stilles der skærpede krav til styring og forankring i ledelsen. Ledelsen får ansvar for at godkende foranstaltninger til styring af cybersikkerhedsrisici, føre tilsyn med dens gennemførelse og er ansvarlig for manglende overholdelse af krav og regler i NIS2-direktivet.

For at sikre de tilstrækkelige kompetencer skal ledelsesmedlemmer regelmæssigt følge konkrete kurser for at opnå den nødvendige viden, indsigt og færdigheder til at forstå og vurdere cybersikkerhedsrisici og styringspraksisser samt deres indvirkning på driften.

Minimumskrav til risikostyring og sikkerhedsforanstaltninger
Virksomheden eller organisationen skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre cybersikkerhedsrisici og forhindre eller begrænse skaderne i tilfælde af en sikkerhedshændelse.

NIS2-direktivet anviser 10 overordnede minimumskrav, som virksomheder og organisationer skal leve op til:

  1. Politikker for risikoanalyse og informationssystemsikkerhed
  2. Håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
  3. Driftskontinuitet og krisestyring (back-up mv.)
  4. Forsyningskædesikkerhed, herunder leverandørstyring/-sikkerhed
  5. Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  6. Politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  7. Retningslinjer for basal “cyberhygiejne” og træning i cybersikkerhed
  8. Politikker og procedurer relateret til kryptografi og hvor relevant kryptering
  9. Medarbejdersikkerhed, adgangsstyring og aktivstyring
  10. Anvendelse af multifaktorautentifikation eller ”kontinuerlige autentifikationsløsninger” mv., ”hvor relevant”


Brug D-mærket som standard til at leve op til NIS2’s krav til styring og forankring i ledelsen samt minimumskrav
NIS2-direktivet lægger op til, at virksomheder og organisationer bruger europæiske eller internationalt accepterede sikkerhedsstandarder eller EU-landenes egne nationale standarder, for at sikre, at direktivet efterleves.

D-mærket bygger på europæiske og internationalt anerkendte standarder og rammeværker og der er god overensstemmelse mellem D-mærkets kriterier og krav og NIS2-direktivets krav til hhv. styring og forankring i ledelsen samt krav til risikostyring og sikkerhedsforanstaltninger.

Download mapping af kravene fra NIS2 til D-mærkets kriterier og kontrolmål.


Hvad skal din virksomhed eller organisation gøre, for at forberede sig på NIS2?

  1. Bliv oprettet i D-mærkets gratis selvevalueringsværktøj og få overblik over din virksomheds eller organisations udfordringer og nødvendige indsatsområder. Se hvordan her.
  2. Skab opbakning fra ledelsen, så der bliver afsat de rette ressourcer og brug D-mærket som styringsramme gennem hele processen. Læs, hvordan det anbefales at organisere arbejdet med D-mærket.
  3. Brug processen i D-mærkets selvevaluering til at implementere nødvendige tiltag samt at få dokumenteret kriterier og krav.
  4. Gå i tilsyn og få D-mærket, så I har en 3. parts vurdering af jeres it-sikkerhed og ansvarlige dataanvendelse.
  5. Rapportér til Center for Cybersikkerhed ved relevante sikkerhedshændelser
  6. Hold øje med nyheder på D-mærkets LinkedIn eller tilmeld dig D-mærkets nyhedsbrev i bunden af hjemmesiden, hvor vi løbende vil kommunikere om NIS2 i forhold til D-mærket.


Mapping af NIS2-krav til D-mærkets kriterier
Download mapping af kravene fra NIS2 til D-mærkets kriterier og kontrolmål.


Kontakt os

Vil du vide mere eller oprettes i D-mærkets gratis selvevaluering?

Tag fat i os på kontakt@d-maerket.dk eller på +45 33 77 33 77, hvis du har sprøsgmål til NIS2 og D-mærket eller ønsker et gratis online opstarts- eller sparringsmøde.

Vil din virksomhed oprettes i D-mærkets gratis selvevaluering, kan du skrive til os på kontakt@d-maerket.dk og oplyse kontaktperson, e-mail, virksomhedsnavn og CVR-nummer.


Processen

1

Registrering

2

Indplacering og kriterier

3

Selvevaluering

4

Anmodning og betaling

5

Tilsyn og kontrol

6

Tildeling af D-mærket


Skip to content