EU’s cybersikkerhedsdirektiv NIS2.0 – hvad det er, og hvordan du bør handle

NIS2.0 er det nye EU‑dækkende cybersikkerhedsdirektiv, som træder i kraft i 2024. I dette blogindlæg forklarer vi, hvad det er, hvorfor det er vigtigt, hvordan du bør handle, og hvilke løsninger Microsoft tilbyder til at opfylde NIS2‑kravene. Deadline for overholdelse er den 17. oktober 2024.

De to vigtigste områder, hvor NIS2 har betydning, er:

• Cybersikkerhedsrisikostyring

• Krav til indberetning af hændelser

NIS2.0 er det nye EU‑direktiv om netværks‑ og informationssikkerhed, som har til formål at styrke robustheden og beredskabet i kritiske sektorer og samfundsvigtige tjenester over for cybertrusler. Direktivet træder i kraft i oktober 2024 og gælder for organisationer med mere end 250 medarbejdere.

NIS2 gælder for en organisation, hvis:

1. organisationen selv opererer i en sektor, der er omfattet af direktivet, eller

2. organisationens kunde opererer i en sektor, hvor NIS2 gælder. Direktivet omfatter også forsyningskædesikkerhed, herunder forholdet mellem en virksomhed og dens leverandører eller serviceudbydere.

Direktivet stiller krav om, at organisationer efterlever en række standarder og forpligtelser, herunder indberetning af hændelser, gennemførelse af risikovurderinger, implementering af sikkerhedsforanstaltninger og samarbejde med nationale myndigheder.

Hvis du arbejder på ledelsesniveau, er det vigtigt at forstå konsekvenserne af NIS2 for både din organisation og dine kunder. Du skal sikre, at IT‑systemer, processer og medarbejdere er tilpasset de nye krav, og at der findes en klar strategi og handlingsplan for at opnå compliance. Det er også vigtigt at kommunikere til kunderne, hvordan NIS2 styrker sikkerheden og tilliden til jeres services.

NIS2 vil have betydelig indflydelse på drift, omdømme og konkurrenceevne. Direktivet vil kræve øgede investeringer i cybersikkerhed, overholdelse af nye regler og tættere samarbejde med myndigheder og samarbejdspartnere.

Manglende overholdelse kan resultere i bøder på op til 10 % af den årlige omsætning samt skade på omdømme og tab af kundernes tillid. Overholdelse kan omvendt give fordele, såsom øget robusthed, innovation og nye markedsmuligheder.

NIS2 er derfor ikke kun en udfordring, men også en mulighed for ledelsen til at demonstrere ansvar og lederskab inden for cybersikkerhed.

Lad os se nærmere på emnet. NIS2 er det nye europæiske cybersikkerhedsdirektiv, som erstatter det eksisterende NIS1‑direktiv i oktober 2024. NIS2 udvider anvendelsesområdet fra NIS1.

NIS2 er den mest omfattende cybersikkerhedslovgivning i EU til dato og dækker 15 sektorer, herunder nye områder som produktion og forskning. Det omfatter også mellemstore virksomheder, der identificeres som kritisk infrastruktur.

Hvem?

Essentielle sektorer:
Energi
Transport
Bankvæsen
Finansiel markedsinfrastruktur
Sundhedssektor
Drikkevand
Spildevand
Digital infrastruktur
IT‑service management
Offentlig administration
Rumfart

Vigtige sektorer:
Post‑ og kurertjenester
Affaldshåndtering
Kemikalier
Fødevarer
Produktion af medicinsk udstyr
Digitale tjenesteudbydere
Forskningsorganisationer

Direktivets formål er at etablere et minimumsniveau af sikkerhedsforanstaltninger for digitale tjenesteudbydere og operatører af kritiske tjenester, for at reducere risikoen for cyberangreb og forbedre det overordnede cybersikkerhedsniveau i EU.

• NIS2 fastsætter et minimumsniveau af foranstaltninger:
  Virksomheder skal gennemføre konkrete tiltag for at forbedre deres cybersikkerhedsposition. Dette inkluderer risikovurderinger, multifaktorgodkendelse og beredskabsplaner for hændelser og forsyningskædesikkerhed.

• NIS2 introducerer strengere håndhævelse:
  Gennem skærpede sanktioner ved manglende overholdelse samt mere omfattende tilsyn fra nationale myndigheder.

• NIS2 etablerer en ramme for koordineret offentliggørelse af sårbarheder
  og opretter et EU‑register over sårbarheder, administreret af ENISA.

• NIS2 styrker samarbejde og informationsdeling
  mellem medlemsstater og deres myndigheder, herunder i forbindelse med håndtering af cyberkriser.

1. Identificere din rolle og dine forpligtelser under NIS2‑direktivet. Afhængigt af din rolle vil kravene variere.

2. Vurdere din nuværende cybersikkerhed og identificere mangler. Du skal følge fælles standarder og retningslinjer fra ENISA og EU‑Kommissionen.

3. Implementere passende sikkerhedsforanstaltninger og politikker for at beskytte systemer og data mod cybertrusler. Tilgangen skal være risikobaseret.

4. Rapportere væsentlige hændelser til nationale myndigheder og ENISA i henhold til fælles retningslinjer.

5. Samarbejde med nationale myndigheder og andre interessenter gennem audits, inspektioner og vidensdeling.

Risikovurderinger:

Anvend Microsoft 365 Compliance Manager og Microsoft Defender for Cloud til at vurdere risici og overholde regulativer. Microsoft 365 Compliance Manager tilbyder allerede vurderingsskabeloner med detaljerede anbefalinger til NIS1. Vurderingsskabeloner til NIS2 vil blive tilgængelige snart.

Brug af kryptografi:

Udnyt Microsoft Azure Key Vault og Microsoft Defender for Cloud til sikker nøglehåndtering og kryptering.

Sikkerhed i forbindelse med anskaffelse af systemer:

Benyt Microsoft Intune og Endpoint Manager til at administrere enheder og sikre, at nødvendige sikkerhedskontroller er implementeret.

Sikkerhedsprocedurer for medarbejdere:

Ved adgang til følsomme eller vigtige data: Implementér løsninger til identitets‑ og adgangsstyring såsom Entra ID (tidligere Azure Active Directory) og Privileged Identity Management for at kontrollere adgangen til følsomme data.

Microsoft Information Protection, herunder Data Loss Prevention, kan hjælpe med at beskytte data og begrænse, hvordan de kan anvendes. Derudover kan Microsoft Insider Risk Management hjælpe med at opdage og følge op på risikabel adfærd fra interne brugere.

Multifaktorgodkendelse:

Brug Entra ID Multi‑Factor Authentication til at tilføje et ekstra sikkerhedslag ved brugerlogin.

Politikker og procedurer:

Til evaluering af effektiviteten af sikkerhedsforanstaltninger: Microsoft Defender‑pakken og Microsoft Sentinel kan hjælpe med at overvåge og opdage sikkerhedstrusler i realtid.

Plan for håndtering af sikkerhedshændelser:

Microsoft Information Protection, herunder Data Loss Prevention, samt Microsoft Insider Risk Management stiller egne visninger til alarmer og hændelseshåndtering til rådighed.

Cybersikkerhedstræning og praksis for grundlæggende IT‑hygiejne:

Anvend Microsoft 365 Learning Pathways og Microsoft Defender for Office 365 til at uddanne medarbejdere i best practice inden for cybersikkerhed.

Vi kan naturligvis også hjælpe dig! For at sikre sikkerheds‑ og compliancekompetencer hos både IT‑personale og slutbrugere tilbyder Context& en bred vifte af træningsmuligheder. Vi tilbyder kurser både på engelsk og finsk, herunder både officielle Microsoft‑kurser og vores egne. Kontakt os med dine behov!

Plan for håndtering af forretningsdrift under og efter en sikkerhedshændelse:

Anvend Microsoft Azure Site Recovery og Backup til at sikre forretningskontinuitet i tilfælde af en sikkerhedshændelse.

Sikkerhed i forsyningskæden og relationen mellem virksomheden og direkte leverandører:

Brug Microsoft Defender for Endpoint til at beskytte enheder og netværk mod angreb i forsyningskæden.