Det her er en af de tungere nyheder, så hvis du kun er interesseret i, hvordan du skal forholde dig som NetRaket kunde, så scroll ned til sidste afsnit.
(Spoiler alert: vi klarer den for dig)
Hvad er NIS-2 for noget?
NIS-2 er en forkortelse af Network and Information Security 2 og er et nyt EU-direktiv, der har til formål at øge IT-sikkerheden i EU. Direktivet stiller en række krav til virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Direktivet omfatter flere sektorer end det tidligere NIS-direktiv (NIS-1), og skelner mellem ”essentielle entiteter” og ”vigtige entiteter”. Direktivet forventes godkendt i 2022 og implementeret i de nationale lovgivninger senest den 17. oktober 2024.
Den nye EU-lovgivning om cybersikkerhed har til formål at styrke det fælles niveau af cybersikkerhed i EU ved at:
– Skabe den nødvendige struktur for cyberkrisehåndtering (CyCLONe)
– Øge graden af harmonisering vedrørende sikkerhedskrav og rapporteringsforpligtelser
– Opfordre medlemsstaterne til at indføre nye områder af interesse såsom forsyningskæde, sårbarhedsstyring, kerneinternet og cyberhygiejne i deres nationale cybersikkerhedsstrategier
– Indføre nye idéer såsom peer reviews for at fremme samarbejde og videndeling mellem medlemsstaterne
– Dække en større del af økonomien og samfundet ved at inkludere flere sektorer, hvilket betyder, at flere enheder er forpligtet til at træffe foranstaltninger for at øge deres niveau af cybersikkerhed.
NIS-2 tildeler også ENISA (European Union Agency for Cybersecurity) en række væsentlige nye opgaver såsom:
– Udvikling og vedligeholdelse af et europæisk sårbarhedsregister
– Sekretariatet for det europæiske netværk for cyberkrisekontakt (CyCLONe)
– Udgivelse af en årlig rapport om tilstanden af cybersikkerhed i EU
– Støtte til organisationen af peer reviews mellem medlemsstaterne
– Oprettelse og vedligeholdelse af et register for enheder, der leverer grænseoverskridende tjenester f.eks. DNS-tjenesteudbydere, TLD-navneregistre, cloud computing-tjenesteudbydere, datacenter-tjenesteudbydere samt enheder, der leverer domænenavnsregistreringstjenester.
Hvad betyder NIS-2 for dit websted?
NIS-2 har betydning for dit websted på forskellige måder, alt efter hvilken sektor du tilhører, og hvilken type tjenester du leverer.
NIS-2 identificerer to kategorier af enheder: vigtige enheder (IE) og vigtige digitale udbydere (VDU).
Vigtige enheder er dem, der leverer vigtige tjenester inden for følgende sektorer:
- energi
- transport
- bankvirksomhed
- finansiel markedsinfrastruktur
- sundhedsvæsen
- drikkevandsforsyning og -distribution
- affaldshåndtering
- digital infrastruktur
- offentlig administration
- rumfart
- forsvar
- miljømæssig beskyttelse
- valgprocesser
- kemisk industri.
Vigtige digitale udbydere er dem, der leverer følgende typer tjenester:
- cloud computing-tjenester
- online markedspladser
- online søgemaskiner
- sociale netværk.
Hvis du hører til en af disse kategorier eller leverer tjenester til en sådan kategori, skal du være opmærksom på de krav og forpligtelser, som NIS-2 medfører for dig.
Nogle af de vigtigste krav og forpligtelser er:
- At træffe passende tekniske og organisatoriske foranstaltninger til at håndtere risiciene for sikkerheden af netværk og informationssystemer, som du bruger til at levere dine tjenester. Disse foranstaltninger skal sikre et niveau af sikkerhed, der svarer til risikoen.
- At anmelde uden unødig forsinkelse enhver hændelse, der har en betydelig indvirkning på kontinuiteten eller leveringen af dine tjenester til den nationale kompetente myndighed eller CSIRT (Computer Security Incident Response Team) i din medlemsstat. Du skal også give dem alle relevante oplysninger om hændelsen og dens konsekvenser samt de trufne modforholdsregler.
- At samarbejde med den nationale kompetente myndighed eller CSIRT i din medlemsstat vedrørende forebyggelse, håndtering og løsning af hændelser samt vedrørende overholdelse af NIS-2.
- At deltage i peer reviews mellem medlemsstaterne om gennemførelsen og anvendelsen af NIS-2 samt om bedste praksis inden for cybersikkerhed.
Hvis du ikke overholder disse krav og forpligtelser, kan du blive pålagt sanktioner eller bøder fra din nationale kompetente myndighed.
Hvad kan du gøre for at være klar til NIS-2?
NIS-2 er allerede trådt i kraft den 16. januar 2022, men medlemsstaterne har 21 måneder til at omsætte det til deres nationale lovgivning. Det betyder, at du har lidt tid til at forberede dig på de nye regler og krav.
Her er nogle tips til, hvordan du kan være klar til NIS-2:
- Find ud af, om du hører til kategorien af vigtige enheder eller vigtige digitale udbydere i henhold til NIS-2. Hvis du hører til en af kategorierne, skal du identificere hvilke netværk og informationssystemer, du bruger til at levere dine tjenester, og hvilke risici de er udsat for.
- Gennemgå din nuværende cybersikkerhedsstrategi og -politik samt dine tekniske og organisatoriske foranstaltninger. Vurdér om de er passende og effektive nok til at håndtere de potentielle trusler mod dit websted og din e-mail. Er de ikke det, så er det meget vigtigt, at du opdaterer dem i overensstemmelse med NIS-2.
- Udarbejd en plan for, hvordan du vil anmelde eventuelle hændelser til den nationale kompetente myndighed eller CSIRT i din medlemsstat. Fastlæg, hvem der er ansvarlig for at gøre det, hvilke oplysninger der skal gives, og hvordan kommunikationen skal foregå osv.
- Hold dig orienteret om den nationale lovgivning om NIS-2 i din medlemsstat samt om eventuelle vejledninger eller anbefalinger fra ENISA eller andre relevante instanser. Følg også udviklingen i peer reviews mellem medlemsstaterne og lær af de bedste praksis inden for cybersikkerhed.
Ved at følge disse tips kan du være klar til NIS-2 og øge dit websteds og din e-mails cybersikkerhed.
Opsummering
NIS-2 er den nye EU-lovgivning om cybersikkerhed, som har til formål at styrke det fælles niveau af cybersikkerhed i EU ved at skabe en harmoniseret ramme for forebyggelse, håndtering og løsning af hændelser samt for samarbejde mellem medlemsstaterne. NIS-2 har betydning for dit websted på forskellige måder, alt efter hvilken sektor du tilhører, og hvilken type tjenester du leverer. Hvis du hører til kategorien af vigtige enheder eller vigtige digitale udbydere, skal du være opmærksom på de krav og forpligtelser, som NIS-2 medfører for dig.
Hvad gør NetRaket?
NetRaket tager det fulde ansvar for kundernes hjemmesider, og “regler” er en af de 5 søjler, vi bygger vores service omkring. Hos os behøver du ikke sætte dig ind i nye regler og regulativer – dem sørger vi for, at der er styr på, når det kommer til din hjemmeside.
Vi håber, at dette blog indlæg har været nyttigt for dig og har givet dig nogle brugbare indsigter i NIS-2.
Hvis du har spørgsmål til, hvad NIS-2 betyder for lige præcis din hjemmeside, så er du selvfølgelig velkommen til at kontakte os.