Net- og informationssikkerheds-direktivet (NIS-direktivet) skal sikre, at centrale dele af den danske og europæiske infrastruktur inden for en række sektorer beskyttes mod cyberangreb. Bødestraffer og et skadet image venter virksomheder, der ikke efterlever krav.

NIS-direktivet, som har været i kraft siden 25. maj 2018, implementeres i national lovgivning og omfatter operatører af væsentlige tjenester samt udbydere af digitale tjenester inden for følgende syv forskellige sektorer:

  • El, olie og gas
  • Digital infrastruktur
  • Bankvæsen
  • Sundhedsvæsnet
  • Vandforsyning
  • Finansielle markedsinfrastrukturer
  • Transport

NIS-direktivet medfører, at operatørerne og udbyderne af digitale tjenester er lovgivningsmæssigt forpligtet til at arbejde med sikkerhed på en risikobaseret måde, således at sikkerhed når ud til alle relevante dele af organisationen.

Operatørerne og udbyderne vil skulle være i stand til at dokumentere, at de har implementeret passende sikkerhedsforanstaltninger i netværk og systemer, og at de i øvrigt arbejder med sikkerhed på et passende niveau gennem f.eks. etablering af en ISMS baseret på ISO 27001, løbende sikkerhedstests og simulationer, penetrationstests mv. Inden for visse sektorer (f.eks. energi og sundhed) vil der være sektorspecifikke krav og standarder, som de omfattede organisationer vil skulle identificere og efterleve. Herudover er det et krav, at udbydere af digitale tjenester skal have en omsætning eller balance på mindst 75 mio. kr. Og mindst 50 ansatte for at være omfattet.

Også leverandører af IT-systemer til de omtalte operatører og udbydere vil ligeledes indirekte blive ramt af direktivet. Disse leverandører vil således skulle være i stand til at kunne levere IT-systemer, som lever op til lovgivningens krav til sikkerhed, herunder specifikke branchekrav, og håndtering af sikkerhedshændelser.

 Offentliggørelse den 8. november 2018
Det er op til EU-medlemsstaterne selv at identificere de specifikke operatører. Den 8. november 2018 offentliggør de danske myndigheder en liste over identiteten på operatører af væsentlige tjenester inden for de syv sektorer.

Mens operatører af væsentlige tjenester bliver udpeget af myndighederne, skal udbydere af digitale tjenester selv foretage en vurdering af, om de er omfattet af NIS-lovgivningen. Dette vil være tilfældet, hvis de falder i en af følgende kategorier:

  • Cloud-computing-tjenester
  • Onlinemarkedspladser
  • Onlinesøgemaskiner

 

Sanktioner og risici
Omfattede organisationer, der ikke efterlever kravene i NIS-lovgivningen, risikerer bødestraf. Yderligere risici er tab af omdømme, men i værste fald også skade på samfundskritisk infrastruktur eller tab af menneskeliv.

 Hvor skal organisationerne starte?
Først og fremmest skal virksomheder, myndigheder og organisationer holde øje med, om de den 8. november 2018 eller efterfølgende bliver udpeget som operatører af væsentlige tjenester.

Udbydere af digitale tjenester, der er cloud-computing-tjenester, onlinemarkedspladser eller onlinesøgemaskiner, er forpligtet til selv at afklare, om de er omfattet af NIS-lovgivningen og dermed er underlagt lovgivningens krav til sikkerhed mv.

Operatører af væsentlige tjenester og udbydere af digitale tjenester, der er omfattet af NIS-lovgivningen, bør få udarbejdet en indledende gap-analyse af, om deres sikkerhedsforanstaltninger er gode nok, og om de har det fornødne setup til at kunne håndtere sikkerhedshændelser korrekt og hurtigt. Omfattede organisationer vil være forpligtet til at arbejde med sikkerhed som en integrerende del af forretningen for at sikre efterfølgende compliance og beskyttelse mod cybertrusler.