Hvilke krav stiller NIS2 til virksomheders cybersikkerhed?
Med implementeringen af NIS2-direktivet træder vi ind i en ny æra for cybersikkerhed, hvor forebyggelse, beredskab og gennemsigtighed er nøgleelementer i kampen mod digitale trusler.
Foto: Risma Systems
Direktivet pålægger nu mange organisationer at opfylde nye krav inden for ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne. NIS2 udvider de eksisterende regler ved at indføre strengere sikkerhedskrav, skærpede rapporteringsforpligtelser og et større fokus på tilsyn og håndhævelse af reguleringen.
Strengere krav til cybersikkerhed og ledelsesansvar
De NIS2-krav, som organisationer nu skal leve op til, omfatter løbende risikoanalyser, identifikation af sårbarheder og trusler samt implementering af relevante sikkerhedsforanstaltninger.
Vurderingen af, hvilke sikkerhedsforanstaltninger der er passende, afhænger af risikoniveauet og konsekvenserne af en potentiel trussel. Jo højere risikoen er, desto strengere krav stilles der.
Der er flere områder, hvor NIS2 indeholder specifikke krav:
- Hændelseshåndtering
Organisationer skal have en robust plan for hurtigt at håndtere cybersikkerhedshændelser, minimere skader og genskabe drift. - Sikring af data og hurtig genopretning
En klar beredskabsplan og definerede backup-processer skal sikre hurtig genopretning efter it-hændelser. - Sikkerhed i forsyningskæden
Organisationer skal vurdere og håndtere risici fra leverandører og andre tredjeparter med adgang til deres systemer. - Løbende sikkerhedsvurdering
Sikkerhedsforanstaltninger skal evalueres regelmæssigt, herunder sårbarhedshåndtering og angrebsforebyggelse. - Medarbejderuddannelse
Løbende træning i cybersikkerhed skal sikre gode arbejdsvaner som stærke passwords og opdateret software. - Adgangskontrol
Organisationer skal definere, hvem der har adgang til data og systemer, samt træne ledelsen i datasikkerhed. - Kryptering
Hvis organisationen anvender kryptering, skal der være en klar politik for, hvordan data beskyttes internt og eksternt. - Hændelsesindberetning
Væsentlige sikkerhedshændelser skal rapporteres til myndighederne inden for 24 timer og opdateres inden for 72 timer.
Med NIS2 træder vi ind i en tid, hvor cybersikkerhed er blevet en integreret del af det daglige arbejde i organisationer på tværs af sektorer. Det er ikke længere kun en teknisk opgave, men et ledelsesmæssigt ansvar, der kræver langsigtede investeringer og strategisk planlægning for at beskytte både data og driften mod digitale trusler.
Denne artikel er del af et tema:
Tema: Cybersecurity i forsyningskæden
Forestil dig hver enkelt del af din forsyningskæde som et potentielt mål for cyberangreb. Hackere ser disse svagheder som en buffet af muligheder. Og det er ikke bare tom snak – cyberangreb på forsyningskæder er firedoblet siden 2020.
