Formålet med NIS-direktivet er at sikre, at centrale dele af den danske og europæiske infrastruktur inden for en række sektorer beskyttes mod cyberangreb.

NIS-direktivet, som har været i kraft siden 25. maj 2018, implementeres i national lovgivning og stiller bl.a. følgende krav:

  • Vedtagelse af en national cyberstrategi.
  • Der skal udpeges kompetente tilsynsmyndigheder, et såkaldt centralt kontaktpunkt og en national beredskabsenhed/CSIRT (Center for Cybersikkerhed).
  • Der skal etableres et setup for samarbejde mellem de europæiske myndigheder.
  • Såkaldte operatører af væsentlige tjenester samt udbydere af digitale tjenester skal implementere tilstrækkelige sikkerhedsforanstaltninger, som bl.a. kan være baseret på sektorspecifikke standarder.
  • Operatører af væsentlige tjenester og udbydere af digitale tjenester skal være i stand til at håndtere sikkerhedshændelser samt underrette de kompetente myndigheder og CSIRT’en.

Står din organisation på listen?
Det er op til EU-medlemsstaterne selv at identificere operatører af væsentlige tjenester. Den 8. november har de kompetente danske myndigheder fremsendt lister med de virksomheder som de har fundet er omfattet af NIS.

Krav om selvidentificering for udbydere af digitale tjenester
Mens operatører af væsentlige tjenester bliver udpeget af myndighederne, skal udbydere af digitale tjenester selv foretage en vurdering af, om de er omfattet af NIS-lovgivningen. Dette vil være tilfældet, hvis de falder i en af følgende kategorier:

  • Cloud computing-tjenester
  • Onlinemarkedspladser
  • Onlinesøgemaskiner

Berører hele organisationen
NIS-direktivet medfører, at operatører af væsentlige tjenester og udbydere af digitale tjenester er lovgivningsmæssigt forpligtet til at arbejde med sikkerhed på en risikobaseret måde, således at sikkerhed når ud til alle relevante dele af organisationen.

Operatører af væsentlige tjenester samt udbydere af digitale tjenester vil skulle være i stand til at dokumentere, at de har implementeret passende sikkerhedsforanstaltninger i netværk og systemer, og at de i øvrigt arbejder med sikkerhed på et passende niveau gennem f.eks. etablering af en ISMS baseret på ISO 27001, løbende sikkerhedstests og simulationer, penetrationstests mv. Inden for visse sektorer (f.eks. energi og sundhed) vil der være sektorspecifikke krav og standarder, som de omfattede organisationer vil skulle identificere og efterleve. Herudover er det et krav, at udbydere af digitale tjenester skal have en omsætning eller balance på mindst 75 mio. kr. og mindst 50 ansatte for at være omfattet.

NIS-direktivet rammer også leverandører
Leverandører af IT-systemer til operatører af væsentlige tjenester og digitale tjenesteudbydere vil ligeledes indirekte blive ramt af direktivet. Disse leverandører vil således skulle være i stand til at kunne levere IT-systemer, som lever op til lovgivningens krav til sikkerhed, herunder specifikke branchekrav, og håndtering af sikkerhedshændelser.

Hvad betyder NIS-direktivet for de omfattede organisationer?

Sanktioner og risici
Omfattede organisationer, der ikke efterlever kravene i NIS-lovgivningen, risikerer bødestraf. Yderligere risici er tab af omdømme, men i værste fald også skade på samfundskritisk infrastruktur eller tab af menneskeliv.

Hvor skal organisationerne starte?
Først og fremmest skal virksomheder undersøge om de fremgår på listerne hos de sektoransvarlige myndigheder.
Udbydere af digitale tjenester, der er cloud computing-tjenester, onlinemarkedspladser eller onlinesøgemaskiner, er forpligtet til selv at afklare, om de er omfattet af NIS-lovgivningen og dermed er underlagt lovgivningens krav til sikkerhed mv.

Indledende afklaring og Gap-analyse
Operatører af væsentlige tjenester og udbydere af digitale tjenester, der er omfattet af NIS-lovgivningen, bør få udarbejdet en indledende gap-analyse af, om deres sikkerhedsforanstaltninger er gode nok, og om de har det fornødne setup til at kunne håndtere sikkerhedshændelser korrekt og hurtigt. Omfattede organisationer vil være forpligtet til at arbejde med sikkerhed som en integrerende del af forretningen for at sikre efterfølgende compliance og beskyttelse mod cybertrusler.