NIS2 for danske SMV'er: er din virksomhed omfattet?
NIS2-direktivet skærper kravene til cybersikkerhed for mange danske virksomheder. Find ud af om du er omfattet, hvad kravene betyder i praksis, og hvor du skal starte.
NIS2 er et af de regelsæt der har skabt mest forvirring blandt danske virksomheder. Mange er i tvivl om de overhovedet er omfattet, og hvad de i givet fald skal gøre. Her er et nøgternt overblik.
Hvad er NIS2?
NIS2 er et EU-direktiv om cybersikkerhed, der er implementeret i dansk lovgivning. Formålet er at hæve sikkerhedsniveauet i sektorer der er vigtige for samfundet, og det udvider markant kredsen af virksomheder der har konkrete forpligtelser sammenlignet med det gamle NIS-direktiv.
Er din virksomhed omfattet?
To ting afgør det: hvilken sektor du opererer i, og virksomhedens størrelse.
- Direktivet dækker en række sektorer, blandt andet energi, transport, sundhed, digital infrastruktur, fødevareproduktion, affald og fremstilling.
- Som hovedregel rammer det mellemstore og store virksomheder, men også mindre virksomheder kan være omfattet hvis de spiller en kritisk rolle.
Hvis du leverer til en omfattet virksomhed, kan du desuden møde NIS2-krav indirekte gennem kontrakter, fordi din kunde skal sikre sin egen forsyningskæde.
Hvad kræver NIS2 i praksis?
Kravene falder i fire grupper:
- Risikostyring. Du skal have styr på dine cyberrisici og passende tekniske og organisatoriske foranstaltninger.
- Hændelseshåndtering. Du skal kunne opdage, håndtere og rapportere sikkerhedshændelser inden for fastsatte frister.
- Forsyningskæde. Du skal vurdere sikkerheden hos dine leverandører.
- Ledelsesansvar. Ledelsen er ansvarlig og kan holdes til ansvar, så det er ikke kun en IT-opgave.
Hvor skal du starte?
Start med at afklare om du er omfattet, det er det vigtigste første skridt. Derefter: lav en simpel risikovurdering, få styr på backup og adgangsstyring, og skriv en plan for hvad I gør hvis I bliver ramt. Du behøver ikke gøre alt på en gang, men du skal kunne dokumentere at du arbejder systematisk med sikkerheden.
Ofte stillede spørgsmål
Er små virksomheder omfattet af NIS2? Ofte ikke direkte, men de kan blive mødt med krav gennem kunder i omfattede sektorer. Det er klogt at forberede sig.
Hvad er straffen for ikke at overholde NIS2? Tilsynsmyndigheden kan udstede påbud og bøder, og ledelsen kan stilles til ansvar.
Hvornår gælder reglerne fra? Forpligtelserne er ved at træde i kraft, og der kommer løbende bekendtgørelser med detaljer. Hold øje med opdateringer for din sektor.
Følg med uden besvær
NIS2 udvikler sig stadig, med nye bekendtgørelser og vejledninger. Legiant overvåger reguleringen for din branche og giver dig besked på dansk når noget relevant ændrer sig, så du ikke skal følge med i det hele selv.
Kom i gang gratis og hold styr på cybersikkerhedskravene for netop din sektor.
