NIS2: Ny lovgivning skærper kravene til it-sikkerhed
NIS2 skal højne informations- og cybersikkerhedsniveauet.
Virksomheder inden for visse sektorer samt visse offentlige myndigheder vil fremover blive underlagt strammere regler på it-sikkerhedsområdet.
EU-Parlamentet godkendte i maj 2022 et direktiv - NIS2 - der skal sikre, at medlemslandene i februar 2024 har implementeret ny lovgivning. NIS2 har til formål at højne informations- og cybersikkerhedsniveauet i virksomheder inden for bl.a. energi, forsyning, sundhed, finans og it. Virksomhederne i disse sektorer skal bl.a. have implementeret et basalt it-sikkerhedsniveau.
NIS2 er – som navnet indikerer – version 2 af NIS: Net- og informationssikkerhed. Der er tale om en udvidelse i forhold til både brancher og sektorer. Det væsentlige er, at sikkerhedsniveauet skal kunne dokumenteres, og væsentligt er det også, at der er tale om krav, der omfatter hele forsyningskæden således, at også underleverandører og samarbejdspartnere er omfattet. Leverer en virksomhed til en NIS2-compliant virksomhed, vil det dermed ikke være utænkeligt, at leverandøren tillige skal være dokumenteret NIS2-compliant.
Lovgivningen vil kræve, at virksomheden håndterer it-sikkerhedsforhold, der på mange måder relaterer sig til ISO 27002-kontroller. Dem er der flere, der i forvejen kender, hvis virksomheden har en ISAE 3402- eller 3000-erklæring. Eksempelvis skal virksomheden tage stilling til samt implementere foranstaltninger inden for områderne: risikostyring, sikkerhedspolitik, hændelsesstyring, leverandørstyring, kryptografi, HR og beredskab. Altså forhold vi kender fra ISO 27002, men reelt også fra GDPR.
Det er afgørende, at virksomheder, der direkte eller indirekte relaterer sig til de brancher, der forventeligt omfattes af reglerne, forbereder sig på den kommende lovgivning. Før vi ser regler, vejledninger og beskrivelser fra Folketinget og diverse offentlige myndigheder, bør virksomheder forberede sig ved at arbejde med ISO-standarden.
Modsat GDPR må vi forvente, at de organisationer, der vil være underlagt NIS2, skal søge godkendelse og er underlagt Erhvervsstyrelsens tilsyn.
Direktivet skal udmøntes i dansk lovgivning, og arbejdet pågår allerede. Dette kan give mindelser tilbage til 2016, hvor databeskyttelseslovgivningen (GDPR) blev vedtaget til implementering i 2018, men vejledninger og instrukser først kom meget sent. Sikkert var det imidlertid, at der ville blive uddelt bøder ved manglende compliance. Det samme er formentlig tilfældet ved NIS2; lever virksomhederne ikke op til NIS2 i februar 2024, må der påregnes bøder.