Sikkerhedsforanstaltninger (NIS2)

NIS2 artikel 21 angiver de minimumsforanstaltninger, som væsentlige og vigtige enheder skal implementere. Kravene spænder fra tekniske kontroller som kryptering og multifaktorgodkendelse til organisatoriske foranstaltninger som politikker, procedurer og uddannelse.

Tilbage til ordbog

NIS2 artikel 21 -- oversigt

NIS2-direktivets artikel 21 fastsætter de minimumskrav til sikkerhedsforanstaltninger, som alle væsentlige og vigtige enheder skal implementere. Kravene er udtrykt som kategorier af foranstaltninger snarere end specifikke teknologier -- det er op til den enkelte organisation at implementere foranstaltningerne på en måde, der er passende i forhold til dens risikoprofil.

Tekniske foranstaltninger

De tekniske foranstaltninger, der kræves under NIS2, inkluderer:

Kryptering: Kryptering af data i hvile og under transport for at beskytte fortrolighed.
Adgangskontrol: Princippet om mindste rettigheder og rollebaseret adgangsstyring.
Multifaktorgodkendelse (MFA): Krav om MFA til kritiske systemer og fjernadgang.
Netværkssegmentering: Opdeling af netværket for at begrænse spredningen af angreb.
Sårbarhedshåndtering: Løbende scanning, opdagelse og patchning af sårbarheder.
Logning og overvågning: Logning af sikkerhedshændelser og overvågning af systemer for anomalier.
Backup og gendannelse: Regelmæssige sikkerhedskopier og testede gendannelsesprocedurer.

Organisatoriske foranstaltninger

De organisatoriske foranstaltninger inkluderer:

Informationssikkerhedspolitikker: Dokumenterede politikker for risikoanalyse og informationssikkerhed.
Hændelseshåndtering: Procedurer for opdagelse, analyse og respons på sikkerhedshændelser.
Beredskabsplaner: Forretningskontinuitets- og katastrofeberedskabsplaner.
Uddannelse: Cyberhygiejneuddannelse og bevidstgørelse for alle medarbejdere.
Personalesikkerhed: Procedurer ved ansættelse, opsigelse og interne stillingsskift.
Leverandørstyring: Vurdering og styring af sikkerheden hos leverandører.

Alle 10 kategorier er obligatoriske: NIS2 artikel 21, stk. 2 lister 10 specifikke kategorier af foranstaltninger, som alle er obligatoriske. Organisationen vælger selv, hvordan de implementeres, men kan ikke fravælge kategorier.

Proportionalitetsprincippet

NIS2 kræver foranstaltninger, der er "passende og forholdsmæssige" (proportionale) i forhold til:

De risici, organisationen er eksponeret for
Størrelsen og typen af organisationen
De potentielle konsekvenser af en hændelse for samfundet og andre organisationer
Sandsynligheden for, at hændelser opstår

Det betyder, at en lille vigtig enhed ikke forventes at implementere de samme foranstaltninger som en stor væsentlig enhed, men begge skal adressere alle 10 kategorier. Proportionalitetsprincippet hænger også sammen med sanktioner -- foranstaltningernes tilstrækkelighed vurderes i sammenhæng med organisationens risikoprofil.

Ofte stillede spørgsmål om sikkerhedsforanstaltninger (nis2)

Hvad er de 10 foranstaltningskategorier i NIS2?

NIS2 artikel 21, stk. 2 specificerer: (a) risikoanalyse og it-sikkerhedspolitikker, (b) hændelseshåndtering, (c) driftskontinuitet og krisestyring, (d) leverandørkædesikkerhed, (e) sikkerhed i erhvervelse og udvikling, (f) politikker til vurdering af foranstaltningernes effektivitet, (g) cyberhygiejne og uddannelse, (h) kryptografi og kryptering, (i) personalesikkerhed og adgangsstyring, (j) multifaktorgodkendelse og sikker kommunikation.

Kræver NIS2 brug af specifikke teknologier?

Nej. NIS2 specificerer kategorier af foranstaltninger, ikke specifikke teknologier eller produkter. Organisationen vælger selv, hvilke teknologier og løsninger der bedst opfylder kravene i forhold til dens risikoprofil og størrelse.

Er alle 10 kategorier obligatoriske?

Ja. Alle 10 kategorier i artikel 21, stk. 2 er obligatoriske. Organisationer vælger selv, hvordan de implementerer dem proportionalt, men kan ikke udelukke nogen kategori helt.

Hvordan fungerer proportionalitet i praksis?

Omfanget af foranstaltninger skal stå i forhold til organisationens størrelse, risikoprofil, tjenesternes art og de potentielle konsekvenser af hændelser. En lille enhed implementerer anderledes end en stor, men begge skal adressere alle kategorier.

Hvad sker der, hvis en organisation ikke implementerer de krævede foranstaltninger?

Manglende implementering af tilstrækkelige sikkerhedsforanstaltninger kan føre til sanktioner, herunder bøder op til 10 millioner euro eller 2% af den globale omsætning for væsentlige enheder, samt bindende instrukser, sikkerhedsrevisioner og i grove tilfælde midlertidigt ledelsesforbud.