NIS2

NIS2 er EU's direktiv om net- og informationssikkerhed (direktiv 2022/2555). Det stiller krav til, hvordan virksomheder i kritiske sektorer styrer cybersikkerhedsrisici, rapporterer hændelser og sikrer deres leverandørkæde. Direktivet erstattede det oprindelige NIS-direktiv i januar 2023.

Tilbage til ordbog

Hvad er NIS2?

NIS2 (Network and Information Security Directive 2, EU-direktiv 2022/2555) er EU's opdaterede regelsæt for cybersikkerhed. Det trådte i kraft 16. januar 2023 og skulle være implementeret i national lovgivning inden 17. oktober 2024.

Direktivet er en reaktion på det voksende trusselsbillede. Cyberangreb rammer oftere kritisk infrastruktur, og det oprindelige NIS-direktiv fra 2016 viste sig utilstrækkeligt. NIS2 udvider både omfanget (flere sektorer) og kravene (strengere foranstaltninger).

Hvem er omfattet af NIS2?

NIS2 dækker virksomheder i 18 sektorer, opdelt i to kategorier:

Væsentlige enheder (stramme krav og proaktivt tilsyn):

Energi (el, gas, olie, fjernvarme)
Transport (luft, jernbane, vej, sø)
Sundhed
Drikkevand og spildevand
Digital infrastruktur (DNS, TLD, cloud, datacentre)
Offentlig forvaltning
Rumfart

Vigtige enheder (mindre stramme, men stadig betydelige krav):

Post- og pakketjenester
Affaldshåndtering
Kemikalier og fødevareindustri
Fremstillingsindustri
Digitale tjenester (markedspladser, søgemaskiner, sociale netværk)
Forskning

Størrelseskriterium: Som udgangspunkt er mellemstore virksomheder (50+ ansatte eller 10 mio. EUR+ i omsætning) og store virksomheder i de nævnte sektorer omfattet. Men visse typer virksomheder er omfattet uanset størrelse, fx DNS-udbydere og TLD-registre.

Hvad kræver NIS2?

NIS2 stiller krav inden for fire hovedområder:

Risikostyring: Du skal gennemføre risikovurderinger og implementere passende sikkerhedsforanstaltninger, der dækker politikker, hændelseshåndtering, forretningskontinuitet og forsyningskædesikkerhed.
Hændelsesrapportering: Væsentlige hændelser skal rapporteres til myndighederne inden 24 timer (tidlig advarsel) og med fuld rapport inden 72 timer.
Leverandørkædesikkerhed: Du skal vurdere og styre risici fra dine leverandører og tjenesteydere.
Ledelsesansvar: Ledelsen skal godkende sikkerhedsforanstaltningerne og kan holdes personligt ansvarlige. De skal desuden gennemgå cybersikkerhedsuddannelse.

NIS2 vs. ISO 27001

Mange virksomheder spørger, om ISO 27001-certificering er nok til at opfylde NIS2. Svaret er: det hjælper enormt, men dækker ikke alt.

ISO 27001 giver et solidt fundament for informationssikkerhedsledelse, og der er stort overlap med NIS2's krav. Men NIS2 stiller specifikke krav til hændelsesrapportering og leverandørkædesikkerhed, som ISO 27001 ikke direkte adresserer.

Ofte stillede spørgsmål om nis2

Hvad er NIS2?

NIS2 er EU's direktiv om net- og informationssikkerhed (direktiv 2022/2555). Det stiller krav til risikostyring, hændelsesrapportering og leverandørkædesikkerhed for virksomheder i kritiske og vigtige sektorer.

Hvem er omfattet af NIS2?

NIS2 omfatter virksomheder i 18 sektorer, opdelt i væsentlige og vigtige enheder. Det gælder bl.a. energi, transport, sundhed, digital infrastruktur, offentlig forvaltning og mange flere. Generelt er mellemstore og store virksomheder i disse sektorer omfattet.

Hvad er forskellen på NIS2 og ISO 27001?

NIS2 er et juridisk krav fra EU med fokus på cybersikkerhed i kritiske sektorer. ISO 27001 er en frivillig international standard for informationssikkerhedsledelse. De overlapper på mange punkter, men NIS2 stiller desuden krav til hændelsesrapportering og leverandørkædesikkerhed, som ISO 27001 ikke direkte dækker.

Hvornår trådte NIS2 i kraft?

NIS2 trådte i kraft den 16. januar 2023. EU-medlemsstaterne skulle implementere det i national lovgivning inden den 17. oktober 2024.

Hvad sker der, hvis en virksomhed ikke overholder NIS2?

NIS2 indfører væsentlige sanktioner for manglende overholdelse. Væsentlige enheder risikerer bøder på op til 10 mio. EUR eller 2 % af den globale årlige omsætning, mens vigtige enheder risikerer bøder på op til 7 mio. EUR eller 1,4 % af den globale årlige omsætning.