Fra 2023 kommer der nye regler fra EU, som skal sikre, at myndigheder og virksomheder skal have styr på cybersikkerheden og kritisk infrastruktur. Hos it-konsulentvirksomheden Fellowmind er de klar til at guide virksomheder og organisationer, så de lever op til de nye lovkrav i NIS2.

Medlemslandene i EU har vedtaget Net- og Informationssikkerhedsdirektivet (NIS2), der træder i kraft næste år. Kravene til sikkerhedsforanstaltningerne i virksomheder og organisationer bliver skarpere, ledelsen kan blive holdt ansvarlige for brud på direktivet, og endelig vil der fra myndighedernes side blive ført skarpere tilsyn. 

”Det nye direktiv NIS2 stiller krav til ledelsen i virksomheder og organisationer i en lang stribe brancher, hvor der er kritisk it-infrastruktur. De nye regler betyder, at ledelsen får et ansvar for måden at håndtere risici og rapportering til myndighederne, hvis der sker brud på cybersikkerheden,” forklarer Frederik Stengaard Mehlsen, Technical Solution Manager CISM hos Fellowmind.  I den paneuropæiske virksomhed arbejder omkring 2.000 konsulenter, der hjælper kunderne med at accelerere deres digitale transformation ved at bruge Microsoft cloud-løsninger, implementere integrerede platforme og hjælpe slutbrugere med at lære at anvende teknologien. 

”NIS2 kommer til at betyde, at ledelsen i virksomheder og organisationer får et direkte ansvar. Det kræver handleplaner, uddannelse og systemer for afrapportering for at leve op til de nye lovkrav,” fortæller Frederik Stengaard Mehlsen. 

Kom godt i gang med implementeringen
Virksomheder og myndigheder har allerede stiftet bekendtskab med gennemgribende ændringer som NIS og GDPR, og fra 2023 er turen kommet til NIS2. De væsentligste forskelle til NIS-direktivet er, at med NIS2 bliver langt flere sektorer omfattet. Lovkravene i NIS2 vil bl.a. omfatte private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren samt den offentlige sektor. 

”Mange oplevede udfordringer med at implementere GDPR. Så selv om virksomhederne stadig har 18 måneder til at implementere NIS2, vil vi anbefale at komme i gang,” siger Frederik Stengaard Mehlsen og uddyber:  ”Vi er klar til at klæde virksomhederne og organisationerne på til de nye lovkrav. Vi har specialister i sikkerhedsværktøjer, kan analysere risici, uddanne medarbejdere og ledelse samt hjælpe med overvågning af infrastrukturen.”

Truslen for angreb er meget høj
Center For Cybersikkerhed vurderer i deres årlige rapport, at truslen mod danske virksomheder og organisationer ligger i kategorien Meget Høj. Hver dag oplever virksomheder og organisationer angreb på cybersikkerheden. To af de metoder, som oftest bliver brugt af cyberkriminelle er ransomware-angreb og phishing. Så kom i gang med omstillingen til de nye krav til cybersikkerheden. 

Hvilke krav stiller NIS2 til virksomheder og organisationer?
Ledelsen skal kende NIS2 direktivet og risikostyringsindsatsen. Ledelsen får et direkte ansvar for, at cyberrisici bliver identificeret og håndteret. Virksomheden skal styre og implementere tiltag, der reducerer risici og konsekvenser, hvis de it-kriminelle slår til. Minimumskrav er fx incident management, sikring af cybersikkerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.

Virksomheden skal have en strategi for, hvordan den vil sikre forretningskontinuiteten i tilfælde af, at cybersikkerheden bliver brudt. Det indebærer fx genopretning af systemer, nødprocedurer og etablering af en krise-
organisation.

Virksomheden skal have processer for korrekt afrapportering til myndigheder, hvis uheldet er ude. Større hændelser skal rapporteres inden for 24 timer.

Læs mere på www.fellowmind.dk 

MEST LÆSTE