EU betragtes ofte også som en global leder inden for cybersikkerhed. NIS2, som er en ny EU-politik under udvikling, er blot det seneste i en række skridt til at beskytte kritisk infrastruktur og EU-borgere mod risikoen for cyberangreb.  

Alle EU-lande forventes at overholde NIS2 inden 2024. Det betyder, at vi følger specifikke cybersikkerhedsstrategier, etablerer kompetente myndigheder og implementerer mekanismer til hændelsesrapportering. NIS2 kræver også, at EU’s medlemsstater samarbejder om at dele oplysninger for at beskytte vitale aktiver mod cyberangreb.   

Nedenfor ser vi nærmere på EU’s opdaterede direktiv, og hvad det betyder for EU’s cybersikkerhed. 

Hvordan har EU hidtil håndteret cybersikkerhed? 

Den Europæiske Unions Agentur for netværks- og informationssikkerhed, eller ENISA, blev grundlagt i 2004 for at forbedre EU’s cybersikkerhed. I 2016 vedtog EU derefter NIS-direktivet, der fastsætter retningslinjer for EU-medlemsstaterne for, hvordan de kan forbedre deres cybersikkerhed.  

NIS-direktivet er siden blevet revideret og erstattet af NIS2-direktivet. 

Hvad er NIS2? 

NIS2 bygger på kravene i det oprindelige direktiv. Formålet er stadig at beskytte kritisk infrastruktur og organisationer i EU mod cybertrusler og opnå et højt niveau af fælles sikkerhed i hele EU.  

For at nå dette mål kræver NIS2, at medlemsstaterne træffer en række yderligere foranstaltninger, herunder: 

  • Etablering af en beredskabsplan, der koordineres med andre medlemsstaters planer 
  • Etablering af landsdækkende Computer Emergency Response Team  
  • Styrkelse af samarbejdet mellem offentlige og private enheder 
  • Forbedring af informationsdeling mellem medlemsstater  

Ved at samarbejde med medlemsstaterne for at hjælpe dem med at forbedre deres forsvar mod cyberangreb og ved at yde støtte og vejledning til virksomheder og enkeltpersoner sikrer EU, at borgerne beskyttes mod den voksende risiko for onlinetrusler. 

Sektorer, som NIS2 vil påvirke 

Det oprindelige NIS-direktiv blev indført for at beskytte: 

  • Sundhedssektoren 
  • Digital infrastruktur 
  • Transport 
  • Vandforsyning 
  • Udbydere af digitale tjenester 
  • Bank- og finansmarkedsinfrastruktur 
  • Energiforsyning 

Derudover omfatter NIS2-direktivet nu: 

  • Udbydere af offentlige elektroniske kommunikationsnetværk eller -tjenester 
  • Spildevands- og affaldshåndtering 
  • Fremstilling af visse kritiske produkter (f.eks. lægemidler, medicinsk udstyr og kemikalier) 
  • Levnedsmidler 
  • Digitale tjenester såsom sociale netværksplatforme og datacentertjenester 
  • Rumfart og luftfart 
  • Post- og kurertjenester 
  • Offentlig administration 

De 4 hovedmålsætninger for NIS2: Hvordan vil NIS2 ændre EU’s cybersikkerhed? 

Øget cyberrobusthed på tværs af vigtige tjenesteudbydere 

Som nævnt ovenfor er omfanget af tjenesteudbydere, der skal overholde NIS2-direktivet, større end omfanget af det oprindelige NIS-direktiv. Ved at udvide direktivets anvendelsesområde sikrer EU, at alle vigtige tjenesteudbydere er beskyttet mod cybertrusler. 

Styrkede sikkerhedsstandarder og sanktioner for at strømline modstandsdygtigheden 

Det oprindelige NIS-direktiv gav organisationer mulighed for at skræddersy deres overholdelse af cybersikkerhedskravene. Denne fleksibilitet førte i sidste ende til sårbarheder, da nogle organisationer ikke tog de nødvendige forholdsregler for at beskytte sig selv mod cybertrusler.  

NIS2 styrker sikkerhedskravene og indfører sanktioner for organisationer, der ikke overholder direktivet.  

Logpoints SAP Security and Compliance-løsning giver en omfattende visualisering af en virksomheds sikkerhedsdrift fra slutpunkt til slutpunkt, så organisationer kan registrere og reagere på cybertrusler i realtid. Det er et NIS2-kompatibelt værktøj til at øge cybersikkerhedsstandarder for alle brugere og bedre beskytte forretningskritiske systemer. 

Øget kapacitet til at forudse og reagere på cyberangreb 

Ved at forbedre koordineringen og kommunikationen mellem medlemsstaterne vil EU være bedre rustet til at reagere på cyberangreb. EU har anerkendt, at cybersikkerhed er en kollektiv indsats, og ved at samarbejde kan EU og medlemsstaternes myndigheder forbedre deres forsvar mod cybertrusler. 

En EU-dækkende beredskabsplan for reaktion på hændelser 

NIS2 kræver også obligatorisk hændelsesrapportering.  

I henhold til det oprindelige NIS-direktiv skulle organisationer kun rapportere hændelser, der havde en betydelig indvirkning på deres drift. Det betød, at nogle organisationer ikke kunne rapportere hændelser – og valgte ikke at indrømme, at de var blevet påvirket af et angreb.  

Under NIS2 skal alle organisationer rapportere alle hændelser, der opstår, uanset om de har en væsentlig indvirkning på deres drift eller ej. Dette sikrer, at alle hændelser spores og overvåges, og at myndighederne kan identificere og reagere på potentielle trusler. 

EU har forpligtet sig til at forbedre cybersikkerheden, og NIS2 er kun en del af denne indsats. For at finde ud af hvad der kræves af din virksomhed, kan du besøge EU NIS2-webstedet eller kontakte et cybersikkerhedsagentur med erfaring i EU-bestemmelser som f.eks. Logpoint. 

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint