Smugkig de endelige NIS2-krav til it-sikkerhed og anmeldelser

4 kommentarer.  Hop til debatten
Smugkig de endelige NIS2-krav til it-sikkerhed og anmeldelser
Illustration: tanaonte, BigStock.
It-sikkerhedsdirektivets endelige lovtekst er klar, og den indeholder en række minimums-sikkerhedsforanstaltninger, virksomheder skal have klar, inden reglerne kommer til at gælde i Danmark.
27. juli kl. 03:45

Mange danske virksomheder holder i disse dage øje med det kommende NIS2-direktiv fra EU, som lover omfattede krav til it-sikkerheden hos et væld af sektorer.

Opmærksomheden er især blevet skærpet, efter Europa-Parlamentet og Det Europæiske Råd i foråret annoncerede, at man var blevet enige om lovgivningen, og at der skal vanke enorme millionbøder til virksomheder, der ikke overholder reglerne.

Selvom der er lang tid til, at reglerne kommer til at gælde i Danmark, er firmaer allerede gået i gang med at forberede, herunder Siemens og Danish Crown, som Version2 har talt med tidligere.

Men det kan være svært at lægge en plan, når man ikke kender de helt konkrete krav, fortalte Bjarne Lykke Sørensen, adm. direktør i Siemens Danmark til Version2:

Artiklen fortsætter efter annoncen

»NIS2 er stadig uafklaret, så kunderne er usikre på, hvad det kommer til at betyde for dem. Hvad skal der løftes, og hvad bliver omkostningerne for det?«

Snart bliver det måske lidt lettere at forberede, for EU-Kommissionen færdiggjorde den endelige version af lovteksten i midten af juli, og nu kan Version2 løfte sløret for, hvad direktivet som minimum vil kræve af danske virksomheder.

 

Minimumskrav til sikkerheden

Direktivet opdeler virksomheder i ‘essentielle’ og ‘vigtige’, hvor der er en forskel i bødeniveau for at overtræde kravene om sikkerhedsforanstaltninger og anmeldelsespligten. Essentielle virksomheder risikerer en bøde på op til 10 millioner euro eller 2 procent af den globale årlige omsætning, hvor vigtige virksomheder risikerer bøder på op til 7 millioner euro eller 1,4 procent af den globale årlige omsætning.

Essentielle og vigtige virksomheder

Direktivet gælder for virksomheder i en række sektorer listet i NIS2, herunder energi, fødevareproduktion og rumfart. Hvis det er store virksomheder, er de 'essentielle', og hvis de er mellemstore virksomheder, er de 'vigtige'.

Derudover er 'essentielle' virksomheder:

  • Kvalificerede “trust service providers” og “top-level domain name registries” og “DNS service providers” uanset størrelse.
  • “Public electronic communications networks” eller “publicly available electronic communications services”, som er store virksomheder.
  • Et medlemslands centraladministration og regioner.
  • Andre virksomheder, der tilhører sektorer på listen, som Danmark har vurderet er kritiske i forhold til at opretholde den nationale sikkerhed.

Loven kræver, at både essentielle og vigtige virksomheder implementerer tekniske, driftsmæssige og organisatoriske foranstaltninger for at kunne håndtere de risici, som truer deres systemer. Det gælder både systemer, der bidrager til forretningens drift og den tjeneste, man leverer, men også for at skåne andre virksomheder eller kunder mod angreb.

Når en virksomhed skal vurdere, hvilke foranstaltninger man skal implementere, skal man tage højde for, hvor udsat virksomheden er overfor trusler og ens størrelse. Man skal også tage med i overvejelsen, hvor sandsynligt det er, at forretningen udsættes for sikkerhedshændelser, og hvor alvorlige de er – især i forhold til deres samfundsmæssige og økonomiske indvirkning.

Virksomheden skal tage højde for ‘state of the art’-teknologi, samt europæiske og internationale standarder. Direktivet indeholder dog en række minimums-tiltag, som man skal implementere.

Foranstaltningerne skal som minimum indeholde:

  • Risikovurderinger og sikkerhedspolitikker for informationssystemer
  • En plan for at håndtere sikkerhedshændelser
  • En plan for forretningens drift under og efter en sikkerhedshændelse, og det betyder, at ens backups skal være opdateret. Man skal også have en plan for at sikre adgang til it-systemer og deres funktioners drift under og efter en sikkerhedshændelse.
  • Sikkerhed omkring forsyningskæder og forholdet mellem virksomheden og direkte leverandører. Virksomheder skal vælge sikkerhedsforanstaltninger, der passer til sårbarheder hos den enkelte direkte leverandør. Og så skal virksomheder vurdere det overordnede sikkerhedsniveau for alle leverandører.
  • Sikkerhed omkring indkøb af systemer og udviklingen og drift af systemer. Det betyder også, at man skal have politikker for, hvordan man håndterer og indrapporterer sårbarheder.
  • Politikker og procedurer for at vurdere, hvor effektive sikkerhedsforanstaltningerne er.
  • Cybersikkerheds-træning og en praksis for elementær computer-hygiejne
  • Politikker og procedurer for brugen af kryptografi og, når det er relevant, kryptering
  • Sikkerhedsprocedurer for medarbejdere med adgang til følsomme eller vigtige data, herunder politikker for adgang til data. Virksomheden skal også have et overblik over alle relevante aktiver og sørge for, at de bliver udnyttet og håndteret ordentligt.
  • Brugen af multifaktor-godkendelse, ‘continuous authentication'-løsninger, stemme-, video- og tekst-kryptering og krypteret intern nødkommunikation, når det giver mening.

 

24 timer til første anmeldelse

Ifølge loven er det ikke nok bare at implementere en række sikkerhedsforanstaltninger. Hvis man bliver udsat for en væsentlig sikkerhedshændelse, skal man anmelde det til en relevant myndighed (som ikke er udpenslet mere konkret i direktivet) eller CSIRT (Computer Security Incident Response Team, som medlemslande skal etablere).

I teksten står der, at en sikkerhedshændelse væsentlig, hvis den kan lede til alvorlige driftsforstyrrelser eller økonomiske tab for virksomheden, eller hvis hændelsen kan føre til betydelige tab for andre.

Den første anmeldelse (early warning) til CSIRT eller den relevante myndighed skal ske senest 24 timer efter, man er blevet bekendt med bruddet. Man skal fortælle, om man mener, at ondsindede aktører er involveret, og om hændelsen kan påvirke andre medlemslande.

Senest 72 timer efter, man har opdaget bruddet, skal virksomheden opdatere (incident notification) den første anmeldelse med en umiddelbar vurdering af hændelsen, hvor alvorlig den er, hvor stor indvirkning den vil have og, hvis de er tilgængelige, kompromitteringsindikatorer.

Senest en måned efter ‘incident notification’ skal virksomheden aflægge en endelig rapport, der som minimum skal indeholde en detaljeret beskrivelse af hændelsen, og hvor alvorlig den er; hvilken type af trussel, der sandsynligvis førte til hændelsen; hvad man har gjort og stadig gør for at forebygge skaden; og hændelsens eventuelle indvirkning uden for Danmark.

Hvis ikke virksomheden er færdig med at håndtere bruddet, når man skal aflægge den endelige rapport, skal man i stedet indsende en statusrapport. Den sidste anmeldelse skal så ske senest én måned efter, hændelsen er afsluttet.

Man skal også så hurtigt som muligt oplyse kunder om, hvad de kan gøre for at forebygge skaden, og så kan man fortælle dem om selve truslen, hvis det er relevant.

 

Ledelsen kan stilles til ansvar

Lovteksten understreger, at en virksomheds ledelse kan blive stillet til ansvar for brud med sikkerheds- og anmeldelsespligten og skal gennemgå kurser for at blive bedre til at vurdere cybersikkerhedsrisici. Samtidig skal ledelsen opfordre virksomheden til at tilbyde lignende kurser til alle medarbejdere regelmæssigt.

Det er tiltrængt, for lige nu mangler der nemlig it-sikkerhedskompetencer generelt i danske virksomheder, fortalte Jacob Herbst, CTO hos Dubex og formand for IT-Branchens it-sikkerhedsudvalg, til Version tidligere på sommeren:

»Vi har allerede i dag et problem med, at der mangler sikkerhedsfolk, og virksomhederne har svært ved at rekruttere. Det bliver kun forstærket af NIS2, fordi virksomhederne lige pludselig kommer i den situation, at de er tvunget til at hyre folk, som de så ikke kan få fat i. Så på den måde kommer man som virksomhed til at have et stort problem.«

Derfor er flere eksperter enige om, at danske organisationer allerede nu bør forberede sig på kravene, selvom de nok først kommer til at gælde i Danmark om to år.

20 dage efter NIS2 offentliggøres på EU’s officielle portal for lovtekster (sandsynligvis til september, oplyser Europa-Parlamentet), har medlemslandene 21 måneder til at lave nationale bekendtgørelser. Når de er færdige, kommer direktivets regler til at gælde i Danmark.

4 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
27. juli kl. 12:35

Kan i huske, dengang NIS1 (uden becifring) var det nye "sort"? Jeg søgte dengang den "danske" udgave - for at om der var "lokale tilpesninger" - det var der ...

NIS var på danske blevet til CIS (noget med Cyber Infra Struktur?).

Det hele var underskrevet: "/Regeringen" i stedet for "Commission"

Nogle vil sikkert kunne huske, at papirer i præ-digital tid bar to sæt initialer; f.eks.: "chef/sekretær".

4
27. juli kl. 22:59

Det hele var underskrevet: "/Regeringen" i stedet for "Commission"

Det der med blank-skråstreg-afsender var meget udbredt. Et enkelt parti brugte det på endda valgplakaterne. Det var en underlig tid. Måske skulle det forestille en underskrift med Swung? Et segl? "Givet under vor kongelige hånd og segl"-agtigt.

Almindelige reklamer dengang havde ofte et messingstempel (retvendt) liggende i fotografiet og med retvendt aftryk på papir.

3
27. juli kl. 18:06

Nogle vil sikkert kunne huske, at papirer i præ-digital tid bar to sæt initialer; f.eks.: "chef/sekretær".

Åh, du tænker på personlige ansvarlige? Nogen man kan kontakte, hvis man har spørgsmål eller andet?

Den slags bruges ikke mere. Generelt er digitaliseringen jo brugt til at undgå kontakt med brugere og kunder, uanset om det er privat eller offentlig virksomhed.

1
27. juli kl. 08:09

»Vi har allerede i dag et problem med, at der mangler sikkerhedsfolk, og virksomhederne har svært ved at rekruttere. Det bliver kun forstærket af NIS2, fordi virksomhederne lige pludselig kommer i den situation, at de er tvunget til at hyre folk, som de så ikke kan få fat i. Så på den måde kommer man som virksomhed til at have et stort problem.«

Det her statement er både rigtigt og forkert på samme tid. Der findes stadig masser af unge mennesker som uddanner sig indenfor IT-Sikkerheds området. Jeg især, havde svært ved at komme ud på arbejdsmarkedet under uddannelsens-forløb, fordi virksomhederne har den forkerte indstilling på ny-uddannede folk indenfor IT, derfor vil hellere have nogen der har været på arbejdsmarkedet i mere end 5 år, fordi de ikke selv gider at tage ansvaret for at oplære dem i første omgang.