NIS2-direktiv: Hvad betyder det for virksomheden?
Omtrent 1400 virksomheder i Danmark vil blive påvirket af de nye NIS2-krav, som er ny IT-sikkerhedsstandard i alle EU-lande. Praktisk betyder det, at større virksomheder, SMV’er og leverandører samt operatører af kritiske tjenester skal opfylde nye IT-sikkerhedslovkrav fra efteråret 2024.
Omtrent 1400 virksomheder i Danmark vil blive påvirket af de nye NIS2-krav, som er ny IT-sikkerhedsstandard i alle EU-lande. Praktisk betyder det, at større virksomheder, SMV’er og leverandører samt operatører af kritiske tjenester skal opfylde nye IT-sikkerhedslovkrav fra efteråret 2024.
Gennemgang af NIS2-direktiv
Til webinaret har vi besøg af Jacob Herbst, som er medlem af det Nationale Cybersikkerhedsråd. Jacob giver en gennemgang af de nye NIS2-krav, og hvordan de praktisk påvirker virksomhedernes IT-sikkerhed.
Inspiration til højere sikkerhed
I får også eksempler på, hvordan en række virksomheder allerede har implementeret nye sikkerhedstiltag, der imødegår dele af NIS2-kravene og styrker forsvaret. Eksemplerne dækker både sikkerhed inden for systemer/netværk, adfærd og mobilsikkerhed.
Program
- Introduktion v. Søren Hørlyk (Indholdsspecialist, Telenor Erhverv)
- Opdatering og gennemgang af NIS2 v. Jacob Herbst (CTO, Dubex)
- IT-sikkerhed og rådgivning v. Janus Platen (Head of Security Products)
- Cases fra virkeligheden v. Martin Østergaard (Senior Manager)
- Spørgsmål fra chatten i plenum
Oplægsholderne
Jacob Herbst
Jacob er partner og teknisk chef (CTO) i Dubex, og han følger udviklingen på sikkerhedsområdet tæt. Jacob er desuden bl.a. medlem af det Nationale Cybersikkerhedsråd og regeringens Virksomhedsforum for Digital Sikkerhed.
Janus Platen
Janus er ansvarlig for Telenors Erhvervs sikkerhedsområde, der bl.a. favner overvågning af virksomhedernes infrastrukturer, beredskabsplaner og kultur/adfærd i forhold til sikkerhed.
Martin Østergaard
Martin er Senior Manager hos Telenor Erhverv, hvor han følger kundernes proces helt fra rådgivningsfasen og til den endelige implementering af fx e-learning, MDM eller IT-overvågning.
Ofte stillede spørgsmål om NIS2
Hvis vi skal kigge på de NIS2-krav, som kræver størst omstillingsparathed hos virksomhederne, så er det kravet til, at ledelsen skal være involveret i ansvaret for sikkerheden. Endvidere vil sikkerhedstiltag som risikovurderinger, beredskabsplaner og undervisning i cybersikkerhed til medarbejderne blive krav – ligesom der også skal være dokumentation for, at tiltagene også udføres.
Samlet forventes det, at de opdaterede NIS2-direktiver vil omfatte ca. 1.400 virksomheder. Derudover vil der bl.a. blive stillet nye eksplicitte krav til underleverandører. Det vil sige, at mange underleverandører til de virksomheder, der er omfattet af direktiverne, vil blive ramt af NIS2 – måske ikke i juridisk forstand, men af krav fra de virksomheder, de har et leverandørforhold til.
Formelt blev NIS2 vedtaget i EU den 10. november 2022, blev annonceret i EU-tidende den 27. december og trådte derfor i kraft 20 dage senere dvs. den 18. januar 2023. Derefter er der 18 måneders frist til få det implementeret, så den 18. oktober 2024 vil NIS2 være et krav til de omfattede virksomheder. Udfordringen er dog at NIS2 skal omsættes til national dansk lovgivning før vi kender de præcise krav, og det vides pt. ikke hvornår den kan forventes klar.
Hvis vi kigger på sanktionsmulighederne, kan det være alt lige fra et påbud til en bøde-størrelse, der udgør 2% af den samlede årlige globale omsætning, som vi også kender det fra GDPR-reguleringerne. Og så er der også sanktionsmuligheder i forhold til topledelsen, hvor man kan blive frakendt ledelsesretten i en periode, hvis man ikke har levet op til NIS2 – her er vi dog nok ude i nogle relativt grove overtrædelser, før det kommer dertil.