Det nye NIS2 direktiv kommer i efteråret. Er det vigtigt for dig? Det korte svar er Ja, for hvis du er underlagt direktivet, er både virksomheden og ledelsen ”solidarisk” ansvarlige, så nu kan du som person ikke have de adskilte murer, som en virksomhedsstruktur giver – og bøderne kan være anseelige, hvis uheldet er ude.
Her er nogle af de NIS2 områder, som jeg tror er vigtige:
Hvem er dækket: Du er underlagt NIS2, Hvis du er i en af de udvalgte kritiske sektorer ( energi og anden forsyningsvirksomhed, Digital infrastruktur, finans, produktion, transport, offentlig og sundhedsvæsen m.m.). Dem er der knapt 20 af, så mange er omfattet. Det gælder også undersektorer i hver af disse. Dog skal du som udgangspunkt være over 50 ansatte / omsætte for mindst 10 mio. €. Med sammensætningen af det danske erhvervsliv, vil der være mange, der så vil mene, de kan ånde lettet op. Men det er ikke tilfældet, da du som underleverandør til en virksomhed underlagt direktivet, kan blive påkrævet at dokumentere, at du også lever op til kravene. Underlagte virksomheder skal nemlig også have styr på forsyningskæden.
Hvad kræves af dig: Kravene fokuserer på, at du som virksomhed har styr på din IT-sikkerhed. Her skal du bl.a. have styr på dine politikker og processer for sikkerhed i dine kritiske systemer. Det gælder områder som: – løbende håndtering og kontrol af sikkerhed i dine kritiske systemer; – kontrol/test at du følger dine processer og politikker; – Fast beredskabsplan for hvert kritisk system, herunder hvad gør du hvis det bliver kompromitteret, hvor og hvordan rapporterer du en incident som krævet til de rette myndigheder; – brug af tilgængelig kryptering og stærk adgangssikring i kritiske systemer; – kontrol over din forsyningskæde; – uddannelse af ledelse og medarbejdere. Dette er blot nogle af de mest oplagte krav.
Ligesom virksomhederne, har tilsyndsmyndighederne også en række krav pålagt såsom at tilbyde vejledning, at registrere væsentlige incidents i dækkede virksomheder samt at koordinere på tværs af EU.
For mindre virksomheder kan det virke lidt uoverskueligt. Der findes råd og vejledning online og de første løsninger, der nemt kan give SMV’er en løsning uden at bruge store summer på konsulenter og revisorer er faktisk allerede frigivet med Sparklesecurity.
Søger du hjælp omkring dette og klargørelse til at opfylde NIS2, når det kommer i efteråret, hjælper vi gerne virksomheder via vores NIS2 certfiserede ressourcer, der søger en fast langsigtet aftale for assistance over de næste 6-12 måneder indtil direktivet er indkørt.