NIS2
Bliv klar til NIS2
Det behøver ikke at være overvældende at overholde NIS2. Med ComplyCloud kan du effektivisere processen ved hurtigt at afdække NIS2-krav samt automatisere opgaver, kontroller og dokumentation på en let og overskuelig måde. Spar tid og ressourcer, samtidig med at du og din organisation opnår compliance. Start rejsen mod NIS2-compliance i dag.
Anerkendt af virksomheder som
“Nu bruger jeg kun 3-4 timer på IT-compliance om måneden takket være ComplyCloud. Og det tager derfor ikke tid fra alle mine andre opgaver.”
Jane Knudsen
IT-Chef hos Nord Energi
Start med overblikket
Selvom vi afventer den endelige vejledning til NIS2, så kender vi de overordnede, nødvendige opgaver og kontroller, der brolægger vejen til compliance. Start på den rigtige måde med ComplyCloud, hvor du kan tilføje alle opgaver og kontroller med ét enkelt klik.
Øg effektiviteten med automatisering
NIS2 er et omfattende direktiv – og gør, at du og din organisation ikke løber tør for opgaver i de kommende år. Vi automatiserer de rutinemæssige opgaver og kontroller og sparer jer for op til 80% af det tidsforbrug og de ressourcer, der hører med manuelle processer. På den måde kan dit fokus være på de forretningskritiske issues, som ikke kan automatiseres.
Kortlæg og forbind nemt aktiver, kontroller og dokumenter
Få ro i sindet ved at følge den samme strukturerede metode og ‘best practice’, når du og din organisation skal leve op til NIS2. Alle NIS2-opgaver, kontroller og dokumenter arbejder automatisk sammen og integrerer med alle jeres andre compliance-foranstaltninger.
Hvem er omfattet af NIS2?
NIS2 påvirker alle enheder, der leverer essentielle eller vigtige ydelser til den europæiske økonomi og det europæiske samfund, herunder virksomheder og leverandører inden for transport, energi, og finansiel infrastruktur, sundhedspleje, vandforsyning, offentlig administration (centralt og regionalt), affaldshåndtering samt post- og kurertjenester.
Hvad er kravene?
NIS2 omfatter en masse regler, og da det er et direktiv, skal disse regler implementeres gennem national lovgivning, før vi har det fulde billede. Derfor kan det være meget svært at overskue, hvad man skal gøre, og hvor man skal begynde.
Hvordan lever man op til kravene?
Kravene vil omfatte mange forskellige elementer som politikker, risikovurderinger, leverandørstyring og awareness-træning. Uden en masse viden og erfaring vil det være umuligt at vide, hvordan man lever op til alt dette.
Hvordan får vi tid til at efterleve alle kravene?
Hvis du selv vil overholde NIS2, skal du finde tid til at forberede og vedligeholde et stort antal dokumenter, udføre risikostyring, holde styr på dine forsyningskæder og uddanne dine medarbejdere – alt sammen manuelt.
Din rejse til NIS2 compliance
Kom (selv)sikkert fra start
Under onboarding sikrer ComplyClouds infosec-team og juridiske team, at du og din organisation overholder alle krav til styring, dokumentation og opgaveplanlægning. Herefter kan du nyde godt af gratis support fra vores tekniske og juridiske teams.
Book din gratis NIS2 gap-analyse
Få en skræddersyet gap-analyse om din overholdelse af NIS2-reglerne og forstå, hvilke områder du har brug for at sætte ind.
Ofte stillede spørgsmål
NIS1-direktivet blev indført som EU’s første cybersikkerhedslovgivning for at forbedre net- og informationssystemers evne til at modstå cybertrusler. Covid-19-pandemien har imidlertid udvidet rækken af trusler, hvilket har nødvendiggjort yderligere foranstaltninger.
Europa-Kommissionen erkendte visse mangler i det eksisterende NIS1, herunder:
- Utilstrækkelig cyberrobusthed blandt EU’s virksomheder
- Inkonsekvente modstandsdygtighedsniveauer på tværs af medlemsstater og sektorer
- Manglende fælles forståelse af trusler
- Utilstrækkelig fælles kriseberedskabskapacitet
Derfor fremlagde Kommissionen i december 2020 nye regler, der havde til formål at styrke cyberrobustheden i EU, og som efterfølgende blev vedtaget i november 2022.
NIS2 er et direktiv, hvilket betyder, at det skal implementeres med national lovgivning. Medlemslandene i EU skal gøre dette inden den 18. oktober 2024.
NIS2-direktivet omfatter organisationer fra følgende sektorer:
Væsentlige sektorer:
- Energi (elektricitet, olie, gas, fjernvarme og fjernkøling samt brint)
- Transport (luft, jernbane, vand og vejtransport)
- Sundhed
- Vandforsyning (drikkevand, spildevand)
- Digital infrastruktur (telekommunikation, DNS, topdomæne, cloudtjeneste, datacentre, tillidstjenesteudbydere)
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Drikkevand
- Spildevand
- Forvaltning af IKT-tjenester (business-to-business)
- Offentlig forvaltning
- Rummet
Vigtige sektorer:
- Digitale udbydere (onlinemarkeder, søgemaskiner, sociale netværk)
- Post-og kurertjenester
- Affaldshåndtering
- Fødevarer
- Fremstilling (medicinsk udstyr, elektronik, maskiner, transportudstyr)
- Kemikalier (fremstilling, produktion og distribution)
- Forskning
Mens både væsentlige og vigtige sektorer skal overholde de samme sikkerhedsforanstaltninger, er der forskel på tilsynsniveauet. Enheder, der er klassificeret som “væsentlige”, er underlagt proaktivt tilsyn, hvilket betyder, at de overvåges regelmæssigt for at sikre overholdelse. På den anden side overvåges “vigtige” enheder kun som reaktion på indberettede tilfælde af manglende overholdelse.
Denne differentiering har til formål at prioritere den kontinuerlige drift og modstandsdygtighed af kritiske tjenester, samtidig med at det sikres, at alle enheder opretholder de nødvendige sikkerhedsforanstaltninger for at beskytte sig mod cybertrusler.
NIS2 fastlægger en omfattende ramme for tilsyns- og håndhævelsesaktiviteter på tværs af medlemsstaterne.
De kompetente myndigheder er ansvarlige for at føre tilsyn med væsentlige og vigtige enheders overholdelse af forordningerne. Tilsynsforanstaltninger omfatter revisioner, kontroller, anmodninger om oplysninger og aktindsigt.
Direktivet indfører en konsekvent ramme for sanktioner, herunder bindende instrukser, gennemførelse af anbefalinger vedrørende sikkerhedsrevision, tilpasning til NIS-kravene og administrative bøder.
Administrative bøder varierer afhængigt af enhedens klassificering, hvor væsentlige enheder står over for bøder på op til 10 000 000 EUR eller 2 % af den årlige omsætning, og vigtige enheder står over for bøder på op til 7 000 000 EUR eller 1,4 % af den årlige omsætning.
Tilsynsmyndighederne skal tage hensyn til overtrædelsens art og alvor og eventuelle skader eller tab i forbindelse med udøvelsen af håndhævelsesbeføjelser.
I modsætning til GDPR holder NIS2 også fysiske personer i ledende stillinger inden for omfattede enheder ansvarlige.
NIS2 fokuserer på at forbedre cyberrisikostyringen gennem klare ansvarsområder, effektiv planlægning og øget samarbejde inden for EU.
For at opnå dette giver NIS2 medlemsstaterne mandat til at udpege nationale myndigheder med ansvar for cyberrisikostyring. Det indfører også kravet om nationale planer for cybersikkerhedshændelser og kriseberedskab i stor skala.
Derudover etablerer NIS2 Det Europæiske Netværk af Forbindelsesorganisationer for Cyberkriser (EU-CyCLONe). Dette netværk spiller en afgørende rolle i EU’s ramme for cyberrisikostyring og fremmer koordinerede reaktioner på væsentlige cybersikkerhedshændelser.
Kombinationen af udpegede myndigheder, nationale beredskabsplaner og EU-CYCLONe-netværket sikrer en mere koordineret og effektiv tilgang til håndtering af væsentlige cybersikkerhedshændelser i hele EU.
NIS2 vil styrke og strømline cybersikkerhedskravene for omfattede enheder ved at kræve, at alle virksomheder opfylder et kernesæt af 10 minimumskrav i deres politikker for risikostyring af cybersikkerhed.
Disse elementer omfatter hændelseshåndtering, forsyningskædesikkerhed, sårbarhedshåndtering og brug af kryptografi. NIS2 omfatter også en flertrinstilgang til anmeldelse af hændelser, som skaber balance mellem hurtig indberetning for at forhindre spredning af hændelser og dybdegående rapportering for at drage værdifulde erfaringer.
Omfattede enheder har 24 timer til at indsende en tidlig advarsel, 72 timer til at indsende en hændelsesmeddelelse og en måned til at indsende en endelig rapport. Dette vil bidrage til at mindske den ekstra byrde for enheder, der opererer i flere medlemsstater, og sikre, at alle virksomheder opfylder de nødvendige cybersikkerhedskrav.
Automatisering af overholdelse af NIS2 kan hjælpe med at strømline og forenkle processen for omfattede enheder. ComplyCloud udvikler i øjeblikket et kraftfuldt værktøj til at gøre netop dette.
Nedenfor har vi listet områder, hvor vi ser et stort potentiale i at hjælpe dig med at automatisere og strømline din NIS2-overholdelse:
- Årshjul: Et årshjul, der regelmæssigt giver dig opgaver, vil sikre, at du ikke overser nødvendigt arbejde og give dig tryghed i, at du er godt med.
- Risikovurdering og -styring: Automatiserede metoder til at udføre regelmæssige risikovurderinger, identificere sårbarheder og prioritere mitigeringsindsatsen.
- Hændelsesstyring: Et enkelt og intuitivt hændelsesstyringssystem kan hjælpe dig med at styre hændelser på en nem og compliant måde.
- Dokumentation: Dynamiske spørgeskemaer kan gøre dig i stand til at oprette ethvert nødvendigt dokument meget hurtigere og med en højere kvalitet, end hvis du selv skulle oprette dem fra bunden.
- Medarbejdertræning og awareness: Gennemførelse af awareness-træning, der sikrer, at dine medarbejdere er bevidste om deres roller og ansvar under NIS2, vil være nøglen til at styrke din organisations robusthed mod cyberangreb.
- Gap-analyser: Gap-analyser vil guide dig gennem kravene og gøre dig opmærksom på eventuelle mangler, du måtte have.
- Leverandørstyring: Et system til leverandørstyring kan hjælpe dig med at overholde kravene til forsyningskædesikkerhed.
