Sådan forbereder I jer på EU's nye cybersikkerhedsdirektiv
Med det kommende NIS2-direktiv står mange virksomheder over for at skulle tilpasse deres forsikringer og strategier, særligt inden for områder som cybersikkerhed, ledelsesansvar og bestyrelsesarbejde. Her får du et overblik over, hvad NIS2 indebærer, og hvordan det kan påvirke din virksomhed – eller dine kunder og leverandører.
Hvad er NIS2, og hvorfor er det vigtigt?
NIS2, eller Network and Information Systems Directive 2, er EU’s opdaterede direktiv for net- og informationssikkerhed. Det beskrives ofte som "det nye GDPR" inden for cybersikkerhed. Direktivets formål er at styrke cybersikkerheden i kritiske sektorer og gøre virksomheder mere modstandsdygtige over for cybertrusler.
NIS2 træder i kraft den 1. juli 2025, og mange virksomheder skal inden da have integreret cybersikkerhed som en strategisk prioritet.
Hvem er omfattet af NIS2?
Direktivet omfatter en lang række sektorer, der anses som kritiske for samfundets funktioner:
- Energi: El, fjernvarme, olie, gas og brint
- Transport: Luft, jernbane, vej og vand
- Finans: Banker og børser
- Sundhed: Sygehuse og sundhedsudbydere
- Digital infrastruktur: Internetudbydere, datacentre og cloudløsninger
- Offentlig forvaltning: Kommuner og andre myndigheder
- Fødevarer og kemikalier: Produktion og distribution
Selv mindre virksomheder kan indirekte blive berørt, hvis de fungerer som underleverandører til større aktører, der er omfattet.
Undtagelse: Små virksomheder med under 50 ansatte eller en omsætning på under 10 millioner EUR er som udgangspunkt ikke direkte omfattet af NIS2.
Hvad kræver NIS2 af din virksomhed?
NIS2 stiller skærpede krav til både tekniske og organisatoriske foranstaltninger. Her er de vigtigste områder:
- Ledelsesforpligtelse: Direktionen og bestyrelsen skal aktivt involvere sig i cybersikkerhedsstyring.
- Risikovurdering: Regelmæssig analyse og styring af cybersikkerhedsrisici.
- Hændelsesrapportering: Øgede krav om rapportering af cybersikkerhedshændelser til nationale myndigheder.
- Sikkerhedsforanstaltninger: Stærke tekniske og organisatoriske foranstaltninger for at beskytte netværk og informationssystemer.
- Cyberhygiejne: Grundlæggende sikkerhedspraksis som multifaktorautentificering og træning af medarbejdere.
- Informationssikkerhedspolitik: Udarbejdelse og implementering af en politik, der matcher virksomhedens behov og risikobillede.
Ledelsens ansvar under NIS2
En af de største ændringer fra det tidligere direktiv er, at ansvaret nu placeres direkte hos både den juridiske enhed (virksomheden) og ledelsen (bestyrelse og direktion).
Hvad betyder det i praksis?
- Ledelsen skal godkende cybersikkerhedsforanstaltninger og føre tilsyn med deres implementering.
- Personligt ansvar for manglende overholdelse kan komme på tale.
Denne ændring gør det afgørende for virksomheder at sikre, at ledelsen har tilstrækkelig indsigt og ressourcer til at overholde de nye krav.
Hvordan påvirker NIS2 jeres forsikringer?
Det udvidede ansvar betyder, at virksomheder og ledelser skal overveje justeringer af deres forsikringsdækning. Det kan inkludere:
- Cyberforsikringer: Dækning mod databrud og hackerangreb.
- Ledelsesansvarsforsikringer: Beskyttelse mod personligt ansvar hos bestyrelse og direktion.
Er din virksomhed klar?
NIS2 indfører nye krav og ansvar, der gør det nødvendigt at prioritere cybersikkerhed og ledelsens rolle. Det er ikke kun en teknisk udfordring, men også en strategisk indsats, der kræver samarbejde mellem forskellige dele af virksomheden.
Har du spørgsmål, eller ønsker du at vide mere om, hvordan Fairside kan hjælpe med at sikre din virksomhed mod de nye risici?
