NIS2 OPDATERING OG GAP-ANALYSE

Formålet med NIS2-direktivet er at etablere et højere og mere ensartet niveau for cybersikkerhed på tværs af EU’s medlemsstater. Direktivet sigter mod at styrke modstandsdygtigheden hos organisationer, der udfører samfundskritiske funktioner, overfor cybertrusler og dermed øge den generelle robusthed og sikkerhed på tværs af sektorer.

NIS2-direktivet (Network and Information Security) forventes at træde i kraft i dansk lovgivning d. 1. juli 2025. Den overordnede opgave med implementering af NIS2 flyttes til Ministeriet for Samfundssikkerhed og Beredskab. Det forventes yderlige at NIS2-loven bliver suppleret af sektorspecifikke bekendtgørelser, som vil konkretisere dele af lovgivningen.    


Hvem er omfattet af NIS2?

NIS2 udvider omfanget af sektorer betydeligt og inddeler dem i "særligt kritiske" og "kritiske". Organisationerne kategoriseres som 'vigtige' eller 'væsentlige' baseret på størrelse, sektor og kritikalitet, hvilket styrer myndighedernes tilsyn og sanktioner ved overtrædelser.
 
NIS2 vil omfatte organisationer i EU med over 50 ansatte og en årlig omsætning over 10 mio. euro eller en balance på over 43 mio. euro. Små- og mikrovirksomheder er umiddelbart ikke omfattet, medmindre de falder under en specifik undtagelse.

Det er estimeret, at omkring 2000 danske virksomheder, myndigheder og styrelser bliver direkte omfattet af direktivet. Derudover vil en række organisationer blive indirekte omfattet, da der kommer krav om forsyningssikkerhed.    

Selvom det ikke er endeligt vedtaget, hvilke krav der præcist stilles til virksomhederne og myndighederne omfattet af NIS2, er det en god idé at orientere sig i, hvilke krav til cybersikkerhed lovforslaget beskriver.  

Læs mere om hvad det har for betydning for din virksomhed her.


Gap-analyse:

En gap-analyse er en systematisk proces, der hjælper din organisation med at identificere forskellen mellem jeres nuværende sikkerhedsniveau og de krav, som er fastsat i NIS2.

Hos BDO udarbejder vi en gap-analyse mellem NIS2-minimumskravene og et rammeværk, der omfatter mere end 100 kontroller udarbejdet på baggrund af internationale standarder og best practices såsom ISO, CIS 18 og NIST. Formålet med gap-analysen er at identificere mangler eller forskelle mellem din organisations nuværende sikkerhedsniveau og NIS2-kravene. Resultatet af gap-analysen er en handlingsplan og anbefalinger til at blive NIS2 compliant. Analysen vil sikre alle jeres eksisterende tiltag tages til indsigt og anbefalinger prioriteres og skræddersyes til jeres nuværende stadie med en pragmatisk vinkel ud fra jeres risici, samfundsmæssige betydning og in-house kompetencer og kapaciteter.

Gap-analysen vil blive gennemført i flere trin. Først vil der være et indledende møde for at udveksle relevante informationer og forberede den kommende workshop. Herefter afholdes en fysisk workshop over to dage, hvor gap-analysen udarbejdes. Efter workshoppen vil BDO udarbejde en rapport, der opsummerer observationer og anbefalinger samt en overordnet handlingsplan. Til sidst vil der blive afholdt et afrapporteringsmøde, hvor resultaterne gennemgås, og der drøftes muligheder for videre samarbejde.

Find ud af om du efterlever de nødvendige NIS2 retninglinjer her. 
 
Faktaboks: 
Minimumsforanstaltninger i direktivet: 
  1. Politikker for risikoanalyse og informations-systemsikkerhed
  2. Håndtering af hændelser
  3. Driftskontinuitet (f.eks. backup-styring, reetablering og krisestyring)
  4. Forsyningskædesikkerhed
  5. Sikkerhed i forbindelse med erhvervelse, udvikling og af net- og informationssystemer
  6. Politikker og procedurer til vurdering af sikkerhedsforanstaltninger.
  7. Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
  8. Politikker og procedurer for kryptering 
  9. Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
  10. Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden.