Et community af Wired Relations

Besøg

Et community af Wired Relations for Privacy Pros

Tilbage til Wired Relations

August 16, 2022

Nye regler på vej - alt hvad du bør vide om NIS 2

I denne artikel finder du alt hvad du bør vide om NIS 2. Artiklen tager udgangspunkt i at du allerede ved, at du er omfattet.

NIS 2: Styrk din cybersikkerhed

Mange danske virksomheder bliver om kort tid omfattet af nye regler om cybersikkerhed -  ligesom det var tilfældet med GDPR i 2018. Det stiller krav om en ny måde at arbejde på, blandt andet arbejdet med standarder (ISO), struktureret risikostyring og indberetning af sikkerhedshændelser til myndighederne. Heldigvis…

Mangler du også overblikket?

NIS 2 direktivet giver déjà-vu til GDPR

Du har muligvis allerede hørt om det. NIS 2. Direktivet om Netværks- og Informationssikkerhed, som EU er ved at vedtage, og som skal være implementeret i virksomhederne midt i 2024.

Måske giver det dig et flashback til implementeringen af GDPR i 2018?

Situationen er da også på mange måder den samme.

  • Du har allerede travlt, hvis du skal nå det og
  • De konkrete krav er faktisk endnu ikke helt på plads - og kommer det næppe helt før 2024

Du har behov for at kunne sætte arbejdet i gang på en struktureret måde.

Sådan får du struktur på NIS 2-arbejdet

1.

Er vi overhovedet omfattet?

Du starter med at finde ud af, om din virksomhed er direkte omfattet af direktivet.

Det er den formentlig, hvis du arbejder inden for følgende sektorer: Energi, transport, bankvirksomhed, finansielle markedsstrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning, rummet, post- og kurertjenester, affaldshåndtering, kemikalier, fødevarer, fremstilling af medicinsk udstyr, computere, elektrisk udstyr, maskiner, motorkøretøjer eller udbyder digitale services.

Du kan se mere i den her artikel, som vi løbende opdaterer med ny information.

2.

Begynd arbejdet med ISO 27001/2

Hvis du ikke allerede har etableret et ISMS (Informations Security Management System) med udgangspunkt i ISO 27001 standarden, er det en god måde at komme i gang på. I direktivet lægges der op til, at man bør benytte ISO 27000 serien som basis for arbejdet med kravene i direktivet.

3.

Skab et rapporteringssystem til sikkerhedshændelser

Hvis din virksomhed bliver udsat for en væsentlig sikkerhedshændelse, skal du fra 2024 rapportere den til myndighederne (og eventuelt andre der bliver berørt). Du har 24 timer til den første rapportering og en måned til at lave en mere uddybende rapport.

Hvis sikkerhedshændelsen også omfatter personoplysninger, skal du også indberette den til Datatilsynet.

Det er med andre ord fornuftigt, at du får et robust system til at håndtere sikkerhedshændelser.

4.

Få styr på de nye minimumskrav (lav en gap-analyse)

Med NIS 2 får du en række minimumskrav til din informationssikkerhed ind ad døren. En del af det får du foræret, når du arbejder med ISO 27001, men der vil formentlig være lidt mere, der skal gøres.

Kravene er stadig meget løst beskrevet, men efterhånden som der kommer mere kød på, vil de blive indarbejdet i Wired Relations.

5.

Følg med

Hos Wired Relations følger vi løbende implementeringen af NIS 2, og vi vil stille information og viden til rådighed.

Meld dig ind i vores community Privacy League https://www.wiredrelations.com/dk/privacy-league/tilmeld - så er du sikker på, at du får materiale om NIS 2.

By
Jacob Høedt Larsen
August 16, 2022
Tekst
Governance
Awareness & Træning

From Privacy League Live.
Join the session on Teams to learn, ask and grow as a privacy pro.
Every Wednesday at 14.00 CET.

Learn more