NIS2 og D-mærket

NIS2-direktivet gælder som udgangspunkt for virksomheder og organisationer, der arbejder indenfor “sektorer af særligt kritisk betydning” eller “andre kritiske sektorer”, og som leverer ydelser eller afvikler deres aktiviteter indenfor EU. 

Giv os et kald i dag på 72 400 300 - eller Skriv til os her. Så kan vi drøfte de elementer NIS2 indeholder samt hvad i skal overholde i det sammenhæng.

Baggrunden for lovkrav, der stilles til cybersikkerhed ligger i vores stigende afhængighed af digitale systemer og netværk. Trusler, ss. hacking og andet cyberkriminalitet kræver at vi bliver mere robuste, så vi kan modstå digitale angreb. Virksomheder skal styrke deres cyberforsvar - som også NIS2 direktiven indeholder. 

Hvis man som virksomhed er omfattet af de nye regler, skal man – som det er formuleret i NIS2-direktivet – træffes ”passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer”.

Og selv om reglerne er ikke trådt i kraft endnu, så viser erfaringen, at det kan være en langvarig og tidskrævende process for virksomheder at implementere kravene. Derfor lyder anbefalingen fra myndigheder, at man kommer så hurtigt i gang som muligt. Jo hurtigere man komme i gang, jo bedre.

• Energi (elektricitet, fjernvarme og fjernkøling, olie, gas og brint)
• Transport (luft, jernbane, vand og vejtransport)
• Bankvirksomhed (kreditinstitutter)
• Finansielle markedsinfrastrukturer (markedspladser)
• Sundhed (sundhedstjenesteydere, producenter af lægemidler, medicinsk udstyr mv.)
• Drikkevand
• Spildevand
• Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet- og tjenester)
• Forvaltning af IKT-tjenester (business-to-business)
• Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
• Rummet (operatører af jordbaseret infrastruktur)

Kategorien omfatter offentlige og private organisationer inden for:

• Post- og kurertjenester
• Affaldshåndtering
• Fremstilling, produktion og distribution af kemikalier
• Produktion, tilvirkning og distribution af fødevarer
• Fremstilling af bl.a. medicinsk udstyr, computere, elektroniske og optiske produkter, elektrisk udstyr, maskiner, motorkøretøjer og andre transportmidler.
• Digitale udbydere (onlinemarkedspladser og -søgemaskiner samt platforme for sociale netværkstjenester)
• Forskning (forskningsinstitutioner)

Ravn IT har fået tildelt D-mærket. Det betyder at vi har de tekniske kompetencer og viden, som kræver at være en del af jeres NIS2 projektgruppe. 

Som en D-mærket virksomhed, skal man opfylde en række krav indenfor både it-sikkerhed og ansvarlig dataanvendelse.

Følgende kritéer skal opfyldes:

• Styring og forankring i ledelsen
• Awareness og sikker adfærd
• Teknisk it-sikkerhed
• Krav til leverandørers it-sikkerhed og ansvarlige dataanvendelse
• Transparens & kontrol med data
• Dataetik

Ravn IT kan derfor være den tekniske del af jeres projektgruppe omkring at blive NIS2 godkendt.

NIS2-direktivet  (NIS: Net- og informationssikkerhedsdirektivet) er en opfølgning på NIS-direktivet fra 2016. Formålet var, at øge cybersikkerheden for virksomheder / sektorer på tværs af EU, især dem, som udfører væsentlige (kritiske) aktiviteter i samfundsmæssig perspektiv.

Med NIS2 ønsker man i højere grad, at styrke cybersikkerheden på tværs af EU-landene og på tværs af sektorer.

Det gælder især på følgende tre områder:

• Udvidet anvendelsesområde: Flere sektorer og flere aktører fra de enkelte sektorer er omfattet af de nye regler.
• Udvidet myndighedstilsyn: Eksempelvis skal de kompetente nationale myndigheder (tilsynsmyndighederne) føre et proaktivt tilsyn med de såkaldte væsentlige enheder
• Udvidede sanktionsmuligheder: Med NIS2 skærpes sanktionsmulighederne, idet tilsynsmyndigheder kan pålægge administrative bøder, hvis virksomhederne ikke lever op til kravene om passende foranstaltninger eller rapporteringsforpligtelser.

For at sikre at alle de digitale / tekniske aspekter er opfyldt og gennemgået, er Ravn IT en stærk partner, når der kommer til sparring og rådgivning indenfor it områder i din virksomhed.

De nye NIS2 regler træder først i kraft i oktober 2024. Som anbefalingen lyder, opfordres virksomheder alligevel til at gå i gang med godkendelsesprocessen hurtigst muligt, da den kan være både tids- og ressourcekrævende. 

Der anbefales desuden at rekvirere en ekstern uvildig ekspert på området, som i samarbejde med den interne projektgruppe gennemgår processen.