Hvem er omfattet?
I denne sektion kan man finde et overblik over de overordnede kategorier af samfundskritiske virksomheder og organisationer, der umiddelbart vil blive omfattet af kravene og retningslinjerne i NIS2 Direktivet (NIS2).
Ressourcer og roller
I dette afsnit beskrives nogle af de forskellige ressourcer og roller, der typisk vil være nødvendige at have på plads for at kunne håndtere kravene i NIS2.
Er vores organisation omfattet?
Vi afventer pt. en formel udmelding fra myndighedernes side om, hvem som vil være omfattet af NIS2, jævnfør kortlægning fra Industriens Fond fra 22. februar 2023 hvor det forventes at mere end 1.000 danske virksomheder at blive kategoriseret som værende ”samfundskritiske” og dermed omfattet af de kommende krav i NIS2.
Under “samfundskritiske” virksomheder er det yderligere opdeling i "Væsentlig enhed" (Essential Entities, EE'er) eller "Vigtig enhed" (Important Entities, IE'er). Nedenfor ses hvilke enheder der klassificeres som "Væsentlig enhed" (Essential Entities, EE'er) eller "Vigtig enhed" (Important Entities, IE'er).
Væsentlige enheder:
- Energi
- Transport
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Sundhed
- Drikkevand
- Spildevand
- Digital infrastruktur
- Håndtering af IKT-tjenester (business-to-business)
- Offentlig forvaltning
- Rummet (space)
Vigtige enheder:
- Post- og kurervirksomhed
- Affaldshåndtering
- Fremstilling, produktion og distribution af kemikalier
- Produktion, forarbejdning og distribution af fødevarer
- Fremstilling af andet særligt udstyr
- Digitale udbydere
- Forskning
Derudover er der også visse særlige organisationer, der kan blive omfattet via en særlig ”undtagelsesliste”, hvis de f.eks. er den eneste udbyder af en given service, offentlig instans eller lignende – disse enheder vil blive udpeget af staten.
I dette dokument kan man få et overblik over, hvem der typisk vil blive klassificeret i den ene eller anden kategori.
Ressourcer og roller
Implementeringen af NIS2 kræver også at der indføres og allokeres en række forskellige ressourcer og roller.
Hovedforskellen mellem NIS2 og det tidligere NIS direktiv er at organisationer har dedikeret allokeret personale, der er ansvarlige for cybersikkerhed, og har den nødvendige ekspertise til at implementere, styre og overholde NIS2 herunder personale som cybersikkerhedsanalytikere, ingeniører og ledere samt juridisk personale, der har erfaring med at designe, implementere og
styre cybersikkerhedsprogrammer.
Andre vigtige ressourcer til implementering af NIS2 omfatter uddannelsesprogrammer og programmer til øget opmærksomhed (awareness) for at sikre, at alle medarbejdere er bevidste om deres ansvar i henhold til direktivet og er forberedte på at identificere og rapportere potentielle cybersikkerhedshændelser. Det er også afgørende at samarbejde med eksterne partnere, såsom leverandører eller tredjepartstjenesteudbydere, for at sikre, at de også overholder NIS2-kravene, og for at håndtere eventuelle potentielle cybersikkerhedsrisici, der opstår som følge af disse forbindelser.
Som tidligere omtalt indfører NIS2 endvidere at topledelsen tager ansvar og bliver stillet til ansvar for cybersikkerheden.
Cybersikkerhed i leverandørkæden
Sikkerhed i leverandørkæden blev ikke håndteret tilfredsstillende i det første NIS Direktiv – men det tager NIS2 Direktivet hånd om.
De nye krav til cybersikkerhed i NIS2 kræver, at omfattede enheder afbøder sikkerhedsrisici i deres leverandørkæde – herunder vurderer og tager hensyn til den overordnede kvalitet af deres leverandørers og tjenesteudbyderes produktkvalitet og cybersikkerhedspraksis.
Opmærksomheden henføres til, at nogle organisationer tidligere er blevet ofre for cybersikkerhedsangreb, hvor ondsindede aktører har kompromitteret sikkerheden i en virksomheds netværks- og informationssystem ved at udnytte sårbarheder, der påvirker tredjepartsprodukter og -tjenester.
Derfor kan også virksomheder uden for NIS2's direkte anvendelsesområde, der tilbyder sådanne produkter og tjenester, i sidste ende blive påvirket af den nye lovgivning. Hvis en virksomhed f.eks. leverer tjenester eller serviceydelser til kunder, der omfattes af NIS2 er disse kunder forpligtet til også at udføre grundige tjek i deres leverandørkæde.
Væsentlige og vigtige enheder bør navnlig tilskyndes til at indarbejde foranstaltninger til styring af cybersikkerhedsrisici i kontraktlige ordninger med deres direkte leverandører og tjenesteudbydere.
For at bistå omfattede enheder med at styre leverandørkæder og leverandørrelaterede cybersikkerhedsrisici forventes en såkaldt NIS Coorporation Group at udarbejde en værktøjskasse til sikring af IKT-leverandørkæden (muligvis i 2023). Værktøjskassen bør identificere trusselsscenarier, der er specifikke for IKT-leverandørkæder, og tilvejebringe generelle sikkerhedsforanstaltninger, der kan reagere på trusselsscenarierne.
