Den komplette
NIS2-guide.
NIS2 (Network and Information Security Directive 2) er EU's opdaterede cybersikkerhedsdirektiv der trådte i kraft i oktober 2024. Det er den mest vidtgående cybersikkerhedslovgivning i EU's historie og pålægger virksomheder i 18 sektorer bindende krav om risikostyring, hændelsesrapportering og ledelsesansvar.
KORT SVAR
NIS2 gælder for mellemstore og store virksomheder (over 50 ansatte eller 10 mio. euro i omsætning) i 18 sektorer. Kravene dækker risikostyring, hændelsesrapportering inden 72 timer og ledelsesansvar. Sanktioner: op til 10 mio. euro eller 2% af global omsætning.
Den komplette NIS2-guide
NIS2 er en fundamental udvidelse af det originale NIS-direktiv fra 2016. Hvor det første direktiv dækkede relativt få og snævert definerede sektorer, udvider NIS2 scope markant og stiller langt mere specifikke og bindende krav. Direktivet er implementeret i dansk ret og håndhæves af Center for Cybersikkerhed (CFCS) og sektorspecifikke myndigheder.
Hvem er omfattet?
NIS2 gælder for mellemstore og store virksomheder (over 50 medarbejdere ELLER over 10 mio. euro i omsætning) i 18 sektorer fordelt på to kategorier. Væsentlige enheder er underlagt proaktivt tilsyn og inkluderer energi, transport, bankvirksomhed, sundhed, drikkevand og digital infrastruktur. Vigtige enheder er underlagt reaktivt tilsyn og inkluderer post, affald, kemikalier, fødevarer og fremstilling af kritiske produkter.
De 10 minimumskrav (artikel 21)
NIS2 specificerer 10 obligatoriske risikohåndteringstiltag: politikker for risikoanalyse og informationssystemsikkerhed, hændelseshåndtering, driftskontinuitet og krisestyring, forsyningskædesikkerhed, sikkerhed ved anskaffelse og vedligeholdelse af systemer, politikker for evaluering af cybersikkerhedsforanstaltninger, basal cyberhygiejne og uddannelse, kryptografi og kryptering, personalesikkerhed og adgangsstyring, og multifaktorautentificering.
Rapporteringsfrister
Ved alvorlige hændelser gælder tre frister: 24 timer, tidlig varsling til CSIRT/kompetent myndighed (skal indeholde om hændelsen mistænkes at være ondsindet). 72 timer, hændelsesanmeldelse med initial vurdering. 1 måned, endelig rapport med fuld analyse, konsekvenser og trufne foranstaltninger.
Ledelsesansvar og sanktioner
NIS2 er banebrydende i at gøre topledelsen personligt ansvarlig. Ledelsesorganerne skal godkende og overvåge cybersikkerhedsforanstaltninger og kan pålægges personlige bøder. For væsentlige enheder er bøderne op til 10 millioner euro eller 2% af global omsætning. For vigtige enheder op til 7 millioner euro eller 1,4%. Gentagne grove overtrædelser kan medføre midlertidigt forbud mod at udøve ledelsesfunktioner.
NIS2 og BestSecurity
BestSecurity.IO er bygget til at gøre NIS2-compliance håndterbar. Platformen mapper automatisk jeres kontroller til NIS2's 10 krav, tracker implementeringsfremdrift, og genererer den dokumentation myndighederne forventer ved en inspektion. Hændelsesrapportering kobles til vores 24/7 SOC og Incident Response, så I kan overholde 24/72-timers-fristerne uden manuel koordinering.
OFTE STILLEDE SPØRGSMÅL
Gælder NIS2 for min virksomhed?
NIS2 gælder for mellemstore og store virksomheder (over 50 ansatte ELLER over 10 mio. euro i omsætning) i 18 definerede sektorer. Leverandører til NIS2-omfattede enheder kan også være berørt.
Hvad er fristen for at anmelde en hændelse under NIS2?
Tidlig varsling inden 24 timer, hændelsesanmeldelse inden 72 timer og endelig rapport inden 1 måned til CSIRT/kompetent myndighed.
Hvad er ledelsesansvaret under NIS2?
Ledelsesorganerne skal godkende og overvåge cybersikkerhedsforanstaltninger og kan holdes personligt ansvarlige. Grove overtrædelser kan medføre forbud mod at sidde i ledelsen.
Overlapper NIS2 med ISO 27001 og GDPR?
Ja. ISO 27001-implementering dækker størstedelen af NIS2 artikel 21s tekniske krav. GDPR-compliance adresserer dele af NIS2s krav til databeskyttelse og hændelsesrapportering.
Skal vi gennemgå jeres NIS2-status?
Vi viser jer hvor langt I er fra de 10 minimumskrav, hvad der mangler, og hvordan BestSecurity.IO kan automatisere de tunge dele. Helt uden binding.
Eller ring 82 82 82 95