• Seneste søgninger
  1. Hjemmeside
  2. Industrier og applikationer
  3. Industrial Security
  4. Direktiv om cybersikkerhed: NIS 2

NIS 2 For at sætte standarden for cybersikkerhed i EU skal virksomheder fra forskellige sektorer fremlægge dokumentation for deres sikkerhedsstrategi. Nedtællingen er i gang, og det er tid til at forberede sig sammen!

Globus i netværk med sikkerhedslås

Siden den 18. oktober 2024 har EU's nye cybersikkerhedsdirektiv – NIS 2 – været obligatorisk. Denne bindende forordning sætter standarden for cybersikkerhed i hele EU og tvinger virksomheder fra forskellige sektorer til at dokumentere deres sikkerhedsstrategi.

Virksomhederne opfordres til at handle.

Hvad er NIS 2?

Med NIS 2 (Network and Information Security) har EU indført strenge cybersikkerhedsregler for sine medlemslande. NIS 2 er efterfølgeren til NIS-direktivet, som trådte i kraft i 2016. Implementeringen af en helhedsorienteret sikkerhedsstrategi er derfor ikke længere kun nødvendig for at beskytte mod cyberangreb, men er også påkrævet ved lov.

Medlemsstaterne skulle vedtage de nødvendige foranstaltninger for at overholde NIS 2-direktivet senest den 17. oktober 2024 og anvende disse fra den 18. oktober 2024.

Forskelle mellem NIS 1 og NIS 2

Hvordan adskiller NIS 1 sig fra NIS 2?

NIS 2 er en forbedret version af NIS-direktivet fra 2016, som allerede havde til formål at sikre et højt sikkerhedsniveau for netværks- og informationssystemer i EU, men som havde nogle svagheder.

De vigtigste forskelle mellem NIS 1 og NIS 2 er

  • Den nye version omfatter flere sektorer og virksomheder, der er vigtige for samfundet og økonomien, såsom energi, sundhed, transport og digital infrastruktur.

  • NIS 2 kræver, at de berørte virksomheder og organisationer har en effektiv risikostyring og rapporterer alvorlige eller væsentlige cyberhændelser til de kompetente nationale myndigheder, som derefter kan træffe de nødvendige foranstaltninger. NIS 1 gav kun generelle retningslinjer for sikkerhedsforanstaltninger og rapportering af hændelser.

  • Det nye sikkerhedsdirektiv indeholder strengere sanktioner for medlemslandene, som kan beløbe sig til op til 20 mio. euro eller fire procent af den globale omsætning, hvis de pågældende virksomheder og organisationer ikke implementerer de nødvendige sikkerhedsforanstaltninger eller ikke rapporterer alvorlige eller væsentlige cyberhændelser til de kompetente nationale myndigheder. NIS 1 overlod fastsættelsen af sanktioner til medlemslandene, hvilket førte til inkonsekvent anvendelse.

  • NIS 2 understreger ledelsens personlige ansvar for cybersikkerhed og fastslår for første gang, at administrerende direktører hæfter med deres personlige formue, hvis de ikke lever op til lovkravene.

Målgruppe for NIS 2

Hvem er berørt af dette?

Hvilke virksomheder er forpligtet til at implementere NIS 2-direktivet?

Væsentlige organisationer: Det er de organisationer, der er aktive inden for kritisk infrastruktur. Det gælder f.eks. energi, transport, vandsektoren, sundhedsvæsen og banker.

Vigtige organisationer: Denne kategori omfatter de førende virksomheder inden for fødevare- og kemiindustrien samt dem, der er ansvarlige for fremstilling af elektriske apparater, maskiner og køretøjer.

Desuden har medlemslandene selv mulighed for at udvide målgrupperne for NIS 2. De kan tilføje yderligere organisationer til deres nationale lister og forpligte lokale myndigheder, uddannelsesinstitutioner og andre til at implementere retningslinjerne.

Påmindelse om NIS 2

Hvad er sanktionerne?

NIS 2-direktivet håndhæves strengt, inklusive store bøder for manglende overholdelse eller manglende opfyldelse af rapporteringsforpligtelser. Bødernes størrelse afhænger af kategoriseringen af de enkelte virksomheder.

Virksomheder, der er klassificeret som "vigtige", skal betale bøder på mellem 7 mio. euro eller maksimalt 1,4 % af deres samlede globale årlige omsætning i det foregående regnskabsår. "Væsentlige virksomheder" risikerer bøder på op til 10 mio. euro eller maksimalt 2 % af deres samlede globale årlige omsætning.

Due diligence inden for cybersikkerhed er ikke til forhandling, og topledelsen har pligt til at lede implementeringen og overvågningen af disse cybersikkerhedsforanstaltninger.

Hvad betyder det konkret for dig?

NIS 2-direktivet er et EU-direktiv, der trådte i kraft den 16. januar 2023 og har til formål at forbedre cybersikkerheden og modstandsdygtigheden for kritiske infrastrukturer og udbydere af digitale tjenester. Direktivet kræver, at de berørte virksomheder og organisationer overholder en effektiv risikostyring og rapporterer alvorlige eller væsentlige cyberhændelser til de kompetente nationale myndigheder, som derefter kan træffe de nødvendige foranstaltninger. For at minimere den potentielle skade på brugerne, miljøet og den offentlige orden er målet at identificere sikkerhedshuller på et tidligt tidspunkt og træffe forebyggende foranstaltninger mod dem. For at sikre, at alle involverede parter overholder de samme høje standarder, er virksomhederne også ansvarlige for at sørge for sikkerheden i hele forsyningskæden og videregive kravene til deres forretningspartnere og leverandører. Andre foranstaltninger omfatter bl.a:

  • Implementering af passende og forholdsmæssige sikkerhedsforanstaltninger, der overholder gældende standarder og bedste praksis for at sikre fortrolighed, integritet, tilgængelighed og autenticitet af deres data og tjenester.

  • Oprettelse og opdatering af en forretningskontinuitetsplan, der gør det muligt at genoprette normale driftsforhold efter en cyberhændelse.

  • For at forhindre uautoriseret adgang indføres multifaktorautentificering for adgang til deres netværk og informationssystemer.

EU's agentur for cybersikkerhed (ENISA) kommer til at spille en central rolle i overvågningen af og støtten til anvendelsen af disse retsakter.

NIS 2 – Manufacturer‘s obligations
Overblik over alle fakta
Din omfattende guide om Cyber Resilience Act

Anmod om vores Whitepaper om "The Cyber Resilience Act" og fremtidens cybersikkerhed for digitale produkter for at få et overblik over alle de vigtige oplysninger om CRA. Dokumentet indeholder alle de vigtigste fakta om EU-forordningen og giver også et indblik i, hvordan vi hos Phoenix Contact opfylder kravene i CRA.

Download Whitepaper nu
Globus i netværk med sikkerhedslås

Tidsplan for NIS 2

NIS 2-direktivet trådte i kraft den 16. januar 2023 og skulle være implementeret i national lovgivning senest den 17. oktober 2024. Implementeringen af direktivet vil blive gennemgået af Kommissionen hver 36. måned, første gang den 17. oktober 2027.

Det er tid til at blive aktiv og forberede sig.

Tidslinje NIS 2

NIS 2 trådte allerede i kraft den 16. januar 2023

360° sikkerhedscyklus

Vores komplette 360°-sikkerhedskoncept

360°-sikkerhed – vores komplette tilbud, der ikke går på kompromis

I den dynamiske verden af cybersikkerhed er forandring en konstant, og indførelsen af NIS 2-direktivet understreger dette faktum. Mens vi venter på, at direktivet bliver omsat til national lovgivning, så det kan træde i kraft fuldt ud, haster det unægteligt med at handle.

For at opfylde de strenge krav i NIS 2 er vi nødt til at stole på europæiske og internationale standarder, som udgør vores fundament. Disse standarder definerer ikke kun sikre produkter, men fastlægger også principperne for implementering af robuste sikkerhedssystemer. Et fremragende eksempel er IEC 62443, en globalt anerkendt serie af standarder for sikkerhed i automatisering. Vores helhedsorienterede 360° sikkerhedskoncept omfatter både tekniske og organisatoriske foranstaltninger, der understøttes af tilsvarende IEC 62443-certificeringer.

Mere information om 360°-sikkerhedskonceptet