Hvorfor er “NIS2” så vigtig for en virksomhed at forholde sig til?
NIS2 er betegnelsen for et EU-direktiv, der skal skærpe sikkerheden omkring “kritisk infrastruktur” i Danmark. Industriens Fond vurderer at over 1000 virksomheder er omfattet af direktivet og berører derved over 350.000 ansatte. Direktivet skal være fuldt implementeret 17. oktober 2024 og eksperter vurderer, at hvis en virksomhed ikke har påbegyndt processen senest til juni ’23, så når de det ikke.
En væsentlig forskel fra NIS-direktivet og til stramningen NIS2 er, at EU nu har pålagt bøder på op til 2% af en virksomheds globale årsomsætning, samt sanktioner, der kan ramme enkelte medlemmer af en virksomheds ledelse, såfremt virksomheden ikke opfylder kravene i direktivet.
Hvis du ikke har fået sat dig ind i hvad dette direktiv går ud på, så vil jeg kort opsummere det her:
I november måned ‘22 vedtog EU en (stramning) af NIS-direktivet om net- og informationssikkerhed: “Directive ….. on measures for a high common level of cybersecurity across the Union, amending Regulation …””. Direktivet overordnede formål er
”NIS-direktivet pålægger at træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre sikkerhedsrisici og begrænse skaderne i tilfælde af en sikkerhedshændelse.”
Med andre ord, set i lyset af krigen i Ukraine, så skal vi have løftet sikkerheden omkring kritisk infrastruktur i Danmark. Direktivet er et minimumsdirektiv, hvilket betyder at den danske stat kan vælge at skærpe kravene.
Direktivet omfatter BÅDE IT-sikkerhed og OT-sikkerhed, sidstnævnte er mange ikke klar over.
Hvilke virksomheder er omfattet af NIS2-direktivet?
Direktivet opdeler (private og offentlige) virksomheder og organisationer i 2 grupper:
”Væsentlige sektorer”:
- Energi (Elektricitet, Fjernvarme og fjernkøling, Olie, Gas og Brint)
- Transport (Luft, Vej, Jernbane og Søfart)
- Bankvirksomhed og Finansielle markedsstrukturer
- Sundhed
- Vandområdet (Drikkevand og Spildevand)
- Digital infrastruktur (IXPer, DNS, TLD)
- Cloud
- Datacentre
- Offentlig Myndigheder
- Rumfart
”Vigtige sektorer”:
- Post- og kurertjenester
- Affaldshåndtering
- Fremstilling, produktion og distribution af kemikalier
- Fremstilling, bearbejdning og distribution af fødevarer
- Fremstilling af:
- medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik
- computere og elektroniske og optiske produkter
- elektrisk udstyr
- maskiner og udstyr
- motorkøretøjer, påhængsvogne og sættevogne
- andre transportmidler
- Digitale udbydere (Online markedspladser, søgemaskiner og sociale platforme)
Jeg bliver ofte spurgt om: “Vi er i tvivl om vores virksomhed er underlagt direktivet. Er vores virksomhed omfattet af direktivet?”.
Jeg er kommet frem til følgende svar, som man kan stille sig selv: Hvis Danmark bliver angrebet af en fremmed stat, vil vores virksomhed så være den første, som myndighederne kontakter? Og vil de let kunne ringe til en konkurrent ?.
Hvis svaret på spørgsmål 1 er et klart Ja, så må virksomheden betragte sig som omfattet af direktivet. Er svaret på spørgsmål 2: Ja, så er i nok ikke omfattet. Dette spørgsmål skal blot betragtes som en rettesnor.
Der er stadigvæk stor usikkerhed omkring hvilke virksomheder og organisationer, der er omfattet. I direktivet er der disse undtagelser:
- færre end 50 ansatte, eller
- En omsætning på mindre end 10 mio. euro (75 mio Dkr.) eller
- En balancesum på mindre end 43 mio. euro (320 mio Dkr).
- ”Særligt væsentlige sektorer” er ikke undtaget.
Kilde: Industriens Fond, klik på billedet for at komme til værktøj.
Industriens Fond har sammen med bl.a. DI udarbejdet et værktøj, der kortlægger hvilke virksomheder, der i første omgang vil være omfattet af direktivet. Klik på billedet her over for at komme til dette værktøj. På side 5 kan man klikke sig frem til den sektor, som man mener ens virksomhed hører til og få projektet bud på om man er omfattet af NIS2.
36% af alle berørte virksomheder lever ikke om til minimumskravene.
Projektet har allerede sorteret de virksomheder fra, der er undtaget direktivet, jvf. undtagelserne beskrevet ovenfor. Men bemærk at det sidste punkt er en undtagelse-til-undtagelserne. For hvis en undtaget virksomhed beskæftiger sig med kritisk infrastruktur og kan finde sig selv i de to områder, så er virksomheden IKKE undtaget for at opfylde kravene i NIS2.
Den største sektor blandt de berørte er “Digital Infrastruktur”, som vil berøre over 200 virksomheder. Sektorerne Energi og Elektricitet, ´Luft, Jernbane, mm. siger næsten sig selv at være berørt at direktivet, der skal beskytte “kritisk infrastruktur”.
Hvilke krav skal en virksomhed opfylde?
Overordnet kan kravene sammenfattes til disse:
- Risikostyring
- sikkerhedsforanstaltninger,
- underretningspligt,
- ledelsesmæssig forankring samt
- tilsyn, håndhævelse og sanktioner.
Dykker man ned i NIS2-direktivet, så stilles der krav til ”Passende og forholdsmæssige tekniske og organisatoriske foranstaltninger”. Disse skal som minimum omfatte disse områder:
- Test og revision af risikostyringen
- Driftskontinuitet og krisestyring (back-up, mv.)
- Forsyningskædesikkerhed, herunder leverandørstyring/-sikkerhed
- Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af net-og informationssystemer
- Politikker og procedurer til vurdering af effektiviteten af de pågældende foranstaltninger til styring af cybersikkerhedsrisici.
- Retningslinjer for basal “computer hygiejne” og træning i cybersikkerhed
- Politikker for brug af kryptografi og kryptering
- Personalesikkerhed, adgangsstyring og asset management
- Anvendelse af
- multifaktorautentifikation eller ”kontinuerlige autentifikationsløsninger”,
- sikker Voice-, Video- og tekst kommunikation samt
- sikkert nødsituation kommunikations system ”hvor relevant”
- Håndtering af hændelser (herunder rapportering)
Her er det vigtigt at man som virksomhed perspektiverer disse ovenstående områder til en form for “worst-case-scenario”. Er virksomhedens drift stærkt afhængig adgang til internettet og/eller specifikke cloud løsninger? Hvad hvis mobiletelefon-netværket går ned ? Hvad nu hvis vi udsættes for et massivt DDOS-angreb?
Tekniske minimumskrav for statslige myndigheder 2023
Når man skal vurdere “minimumskravene” til sikkerheden omkring IT-løsninger, kan man bl.a. skele til de krav, som den danske stat stiller til sig selv. I 2020 opsatte staten 20 minimumskrav, baseret på vejledning og anbefalinger fra Datatilsynet, Center for Cybersikkerhed samt Digitaliseringsstyrelsen.
Jeg har tidligere skrevet om disse minimumskrav i et indlæg, som du finder her.
Det næste spørgsmål er så: hvilke løsninger eller systemer er det, som vi skal have set på, som virksomhed?
- En backup løsning, hvor man løbende tester restore processen, siger sig selv.
- 2FA eller MFA løsning hører vi allerede er et minimumskrav
- Kryptering af laptops med Bitlocker og FileVault
- Løbende awarenesstræning er ligeledes et krav.
- begrænse “administratoradgang” på enhederne for slutbrugerne
- have styr på virksomhedens data, herunder sikkerheden, på alle devices, som har adgang til virksomhedens data.
- firewall, switche, netværk osv. der er nutidigt og opdateret er selvsagt.
- det samme er malware beskyttelse
- kravet om at have styr på sit udstyr (“assets”) fordrer bl.a. styr på mobile devices, herunder virksomhedsudleverede enheder og BYOD-enheder.
- Hjemmearbejdspladser, herunder sikkerheden her, falder også ind under kravene.
“Risikovurdering”.
Ordet “risiko vurdering” skal være en fast del af virksomhedens hverdag.
For som direktivet foreskriver, så skal man tage “passende og forholdsmæssige” foranstaltninger. Det vil sige, at virksomhedens ledelse skal klarlægge de områder, hvor de mener, at der er forhold, som har relevans i forhold til sikkerheden omkring virksomheden.
Der kan være en medarbejder gruppe, hvis arbejdsfunktion og adgang til data og systemer, måske er stærkt begrænset. Her kan det være at ledelsen vurderer, at det ikke giver mening at fx. implementere 2FA/MFA for denne gruppe. Denne beslutning skal skrives ned og indgå i ledelsens samlede plan omkring implementering af NIS2.
Opsummering
Der er desværre stadigvæk mange uklarheder især omkring hvem, der er underlagt dette direktiv. Det er, som sagt op til det enkelte land selv at fastsætte disse forhold. Her venter vi stadigvæk på myndighedernes klarhed. For eksempel er det uklart om danske kommuner er underlagt dette direktiv.
Er i usikre, så rådfør jer med en ekspert i NIS2-direktivet. Husk at skrive jeres beslutninger ned, hvis i blot er en smule i tvivl, såfremt i kommer frem til at i ikke er underlagt dette direktiv.
Når dette så er sagt, så kan jeg komme på mange andre gode grunde til at en virksomhed skal have fokus på sikkerheden. Den væsentligste grund er – i mine øjne – risikoen for et hackerangreb, der lammer virksomhedens drift i en længere periode. Vi har set talrige eksempler på, hvor dyrt dette kan være for en virksomhed, både økonomisk, men også på renomé.
Endelig er det vigtigt ikke at stole blindt på en certificering, det være sig NIS2, ISO27001, mv. Certificeringerne beskriver processer der fx. forklarer hvor tit og hvordan virksomheden skal opdatere fx. deres firewalls. Men her er nogle forhold at tage med i betragtningen: en certificering er ikke en garanti for at selv den mest anerkendte firewall er sat korrekt op. Nogle virksomheder arbejder ikke dagligt med deres certificering, måske tages den frem lige før recertificeringen og pudses af. Og endelig kan en virksomhed sagtens blive hacket, selv om den har en certificering.
Du kan læse mere her: www.nis-2-directive.com