Juni 2025 I Sikkerhed
NIS2 stiller ikke kun krav, det giver også struktur og retning til arbejdet med cybersikkerhed. Her får du overblik over, hvordan du bruger det som løftestang for jeres sikkerhedsindsats – også selvom I ikke er omfattet af direktivet.
NIS2 er EU’s nye våben i kampen for et mere modstandsdygtigt digitalt Europa. Direktivet stiller konkrete krav til virksomheder i samfundskritiske sektorer – men rummer også værdifuld inspiration til alle, der arbejder med it og ledelsesansvar.
Det er klart defineret i NIS2, hvilke sektorer som er omfattet af direktivet, men det er i virkeligheden noget, som de fleste virksomheder kan have glæde af at forholde sig til. Faktisk burde NIS2 gælde alle virksomheder – det mener Steffen Friis, sikkerhedsekspert hos 3.
”Det synes jeg, fordi noget af det NIS2 gør, er at tvinge virksomhederne til at tage stilling til, hvor risikovillige de er på forskellige områder, og det er nogle meget sunde overvejelser at gøre sig,” siger han.
Forskellen, kan man sige, ligger i hvordan man forholder sig til de risici – idet indsatsen altid bør være proportionel, således at man ikke investerer mere end nødvendigt.
Derudover tydeliggør NIS2, at ledelsen i en virksomhed eller organisation faktisk har det endelige ansvar for sikkerheden. Det kan gøre en forskel for IT-ansvarlige, der ofte kæmper for at få cybersikkerhed prioriteret i budgettet.
”Hvis virksomheden afdækker et kritisk problem, men ikke prioriterer at gøre noget ved det, så slår NIS2 fast, at det er ledelsens problem, hvis der sker et databrud – det er deres ansvar. Og det kan motivere ledelsen til at prioritere cybersikkerhed, når de lægger virksomhedens budget,” vurderer Steffen Friis.
Afdæk om din virksomhed er omfattet
Dan jer et overblik over jeres net- og IT-systemer
Beskriv jeres procedurer og tag stilling til risiko samt sikkerhedsniveau
Efter 1. juli: Læg en plan for at øge indsatsen, investere i nye foranstaltninger, overvågning mv.
Søg evt. inspiration i vejledningerne fra CFCS.dk
De nye krav i NIS2-direktivet betyder, at din virksomhed skal opgradere og dokumentere sin cybersikkerhed på flere centrale områder, hvis I er omfattet af reglerne.
Lidt firkantet sagt: Hvis din virksomhed blev lagt ned af et cyberangreb i dag, ville det da genere og påvirke andre virksomheder, borgere eller samfundet som helhed? Hvis svaret er ja, så skal din virksomhed formentlig efterleve kravene i NIS2. Overordnet gælder NIS2 nemlig for alle virksomheder og organisationer, offentlige som private, der leverer samfundskritiske produkter, ydelser og services, forklarer Steffen Friis.
”Det handler jo om, at hvis en lokal købmand ikke kan åbne, fordi cyberkriminelle har lagt IT-systemet ned, så er det et problem for nærområdet. Men hvis en engros-virksomhed, som leverer varer til supermarkeder i hele landet bliver lagt ned, så lammer det store dele af samfundet – og dét skal vi undgå,” siger han.
Derudover skal du være opmærksom på, at NIS2 også omfatter underleverandører til virksomheder inden for samfundskritiske sektorer. Det er altså nødvendigt at være bevidst om, ikke blot hvem I leverer til, men hvilke ydelser og produkter de leverer. Hvad der er defineret som kritiske sektorer kan du få et overblik over i nedenstående liste. Derudover er det et krav, at virksomheden som udgangspunkt er mellemstor eller større, hvilket defineres som over 50 ansatte og/eller over 10 mio. euro i omsætning. Virksomheder der anses for at være særligt vigtige for samfundet, er dog omfattet uanset størrelse. Sektorer af særlig kritisk betydning:
Energi (el, olie, gas, fjernvarme).
Transport (luftfart, jernbane, vejtransport, søtransport).
Bankvæsen og finansielle markedsinfrastrukturer.
Sundhedsvæsen – også laboratorier og producenter af medicinsk udstyr).
Drikkevandsforsyning og -distribution.
Spildevandshåndtering.
Digital infrastruktur inklusive DNS-tjenester, cloud computing og datacentre mv.
Offentlig forvaltning.
Rummet (udvikling, produktion og drift af satellitter).
Andre kritiske sektorer:
Post- og kurertjenester.
Affaldshåndtering.
Produktion, forarbejdning og distribution af fødevarer.
Fremstilling af visse kritiske produkter (fx medicin, kemikalier, elektronisk udstyr og motorkøretøjer samt transportudstyr).
Kemikalier (produktion og distribution).
Udbydere af offentlige elektroniske kommunikationsnet og -tjenester (herunder sociale medier og indholdsleveringsnetværk).
NIS2 stiller strengere og mere omfattende krav i forhold til tidligere, og omfatter flere sektorer. Det betyder at mange virksomheder skal i gang med at opgradere og dokumentere deres cybersikkerhed på en række centrale områder.
Når det er sagt, er det stadig vigtigt at huske, indsatsen skal være proportionel i forhold til de risici, og de mulige konsekvenser af et sikkerhedsbrud, der er gældende for en given virksomhed.
Ifølge sikkerhedsekspert Steffen Friis, skal man ikke føle sig tvunget til med det samme at kaste en masse penge efter investeringer i sikkerhed – lav forarbejdet, tag stilling, men investér senere, lyder det.
”Man skal lige slå koldt vand i blodet, så man ikke over-implementerer,” vurderer han.
Da GDPR blev indført, var der nogle virksomheder, som skyndte sig at investere i nogle rasende dyre løsninger. Senere viste det sig, at det for nogle virksomheder slet ikke var nødvendigt med de forkromede løsninger.
”Lige nu handler det om at finde ud af, hvor såret er henne – altså hvor virksomheden er sårbar, og så tage stilling til, hvad og hvor meget det giver mening at gøre ved det. Præcis hvilken score man får, hvor man ligger på skalaen af sikkerhed, ville jeg ikke være så bekymret for i første omgang.”
Hvis du er omfattet af NIS2, eller du generelt er interesseret i at forbedre virksomhedens sikkerhed, opstiller NIS2-direktivet 10 minimumskrav i artikel 21, som virksomheder skal forholde sig til. Listen kan virke overvældende, men hvert punkt kan tilpasses jeres virkelighed. Der er intet specifikt krav om, at I begynder på niveau 10, blot at I er i gang og har taget stilling til jeres nuværende niveau. Omfattede virksomheder skal forholde sig til følgende 10 minimumskrav:
Politikker for risikoanalyse og informationssystemsikkerhed.
Håndtering af hændelser – forstået som at forebygge, opdage og reagere på hændelser samt brud på sikkerheden.
Fastlægge processer for driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, samt krisestyring.
Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.
Det er meget individuelt fra virksomhed til virksomhed, præcis hvad NIS2 kommer til at betyde. Dette fordi, det jo ikke er alle virksomheder, som er omfattet og der desuden er forskel på, hvilke områder af sikkerheden der er mest kritisk.
Først og fremmest handler det derfor om at afdække, hvorvidt din virksomhed er omfattet af NIS2, eller om I i højere grad benytter NIS2 som generel rettesnor for jeres sikkerhedsmæssige indsats.
Er jeres virksomhed omfattet, så er det et lovkrav, at I lever op til NIS2, og så betyder direktivet, at I skal se at komme i gang med at beskrive jeres sikkerhedsforanstaltninger og procedurer.
”Hvis det var mig, ville jeg starte med at få overblik over jeres net- og IT-systemer – få kontrol med det, så I kan sætte et flueben og dermed er klar, hvis myndighederne kigger forbi. Derefter kan I begynde, i ro og mag, at se på, hvor I skal skrue indsatsen op, hvad det kræver af investeringer, hvordan I gør det og i hvilket tempo,” forklarer Steffen Friis.
Derudover kan NIS2 betyde, jeres virksomhed skal forholde sig til et nyt konkurrenceparameter.
Eftersom sikkerheden hos leverandører og underleverandører også indgår i NIS2, vil det blive almindeligt at efterspørge en NIS2-rapport i forbindelse med udbud og partnerskaber.
”Hvis du skal vælge mellem to transportselskaber, der koster det samme, men den ene har omkring 90% styr på alting, mens den anden ikke prioriterer sikkerheden på samme måde. Så har du som virksomhed, som ledelse, et ansvar for at vurdere hvilken af de to, man bedst kan forsvare at vælge,” siger han.
På den måde vil NIS2-rapporten hurtigt kunne udvikle sig til et konkurrenceparameter, forudsiger sikkerhedseksperten.
”Igen skal man have den her bevidsthed om risici med i overvejelserne – for hvilket niveau er jeg villig til at acceptere i mit partnerskab med andre virksomheder? Og det tvinger virksomheder, som leverer ydelser til NIS2-selskaber, til også at tage stilling til cybersikkerhed,” mener Steffen Friis.
Hvis du er usikker på, hvordan din virksomhed bliver klar til NIS2, så står vores business-rådgivere klar til at hjælpe. Vi kan hjælpe dig med, hvordan vores produkter passer ind i NIS2 og kan styrke jeres sikkerhed, samt hvilke data du kan trække på for at imødekomme dokumentationskravet.
Vil du gå skridtet videre har vi et samarbejde med Arctic Wolf, som er en førende leverandør af cybersikkerhedsløsninger. Arctic Wolf kan både bidrage til at styrke jeres digitale sikkerhed, etablere overvågning af jeres systemer og netværk, samt sikre en stærk håndtering af cyberhændelser.
Er du klar til at høre mere om, hvordan du kan styrke virksomhedens cybersikkerhed?
Udfyld kontaktformularen herunder, så kontakter vi jer hurtigst muligt.
I skal blot indtaste jeres oplysninger i kontaktformularen her, og så kontakter vi jer inden for 1 time på hverdage mellem 8-16.
Brug for hjælp? Kontakt os her.