NIS 2.0 vil styrke IT-sikkerheden i EU
Den endelige lovtekst til EU-sikkerhedsdirektivet NIS 2.0 er klar. Direktivet skal afløse første version fra 2018 og indregner nu vandsektoren som kritisk infrastruktur. Det indebærer en række sikkerhedsforanstaltninger, som selskaber og virksomheder skal have klar, når reglerne træder i kraft i Danmark.
Danske forsyningsselskaber er blevet hacket ved flere lejligheder men er indtil videre ikke blandt den infrastruktur i Danmark, der har været mest udsat for brud på sikkerheden. Men den hastige teknologiske udvikling med øget digitalisering af produktions- og administrationssystemer kræver en stadig større indsats omkring IT-sikkerhed. Det gælder også på EU-niveau.
”Derfor bruger selskaberne flere kræfter på at sikre data mod angreb, tyveri og nedbrud af forskellig art. Der stilles stadig flere compliance-krav til dem, hvilket indebærer, at man arbejder systematisk med en række områder omkring sikkerhed og samtidig dokumenterer sin indsats. Det er positivt, at der nu kommer skærpet EU-lovgivning, der støtter op om, at selskaberne arbejder mere målrettet og mere synligt med IT-sikkerhed i vandselskaberne,” siger Peter Mortensen, der arbejder med cybersikkerhed hos DANVA.
NIS 2.0 (Net- og Informationssikkerhedsdirektivet) vil supplere den nye nationale strategi for cyber- og informationssikkerhed 2022-2024, som regeringen lancerede i december 2021. Den skal styrke Danmarks digitale sikkerhed og robusthed på tværs af samfundet, så virksomheder og organisationer kan dæmme op for cybertruslen.
Læs også "Vandsektoren skal have en strategi for cybersikkerhed"
Skærpede krav til ledelsen
Første version af NIS-Direktivet har vist sig ikke at sikre det nødvendige sikkerhedsniveau mod de cybertrusler, som afgørende infrastruktur i EU står overfor. Revisionen af direktivet skal sikre, at cybersikkerheden forbedres i hele unionen. Det skal kortlægge eksisterende og nye problemstillinger og finde de lovgivningsmæssige udfordringer og styrker. Kommissionens forslag forpligter flere enheder og sektorer end tidligere til at indsætte sikkerhedsforanstaltninger for at øge cybersikkerhedsniveauet.
Med de nye regler stilles der skærpede krav til topledelsen, som får ansvar for at godkende sikkerhedsforanstaltningerne og for at føre tilsyn med virksomhedens it-sikkerhed - så sikkerhedsniveauet matcher aktuelle risikovurderinger. Derudover vil der stilles krav om, at virksomheder, i løbet af 24-72 timer, skal underrette myndighederne om eventuelle IT-sikkerhedshændelser.
Nye minimumskrav
NIS 2.0 skal sikre yderligere harmonisering på tværs af medlemsstater gennem mere detaljeret regulering og ved at indføre syv minimumskrav til:
- politikker for risikoanalyse og informationssystemsikkerhed
- håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
- driftskontinuitet og krisestyring
- sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
- politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cyber-risici.
- brug af kryptografi og kryptering
- forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester.