
7 March 2023
The NIS2 Directive: what is it? What do you have to do to comply and how can Orange Cyberdefense help?
NIS2-direktivet (Network and Information Systems Directive) blev vedtaget af Europa-Parlamentet den 10. november 2022 og offentliggjort i EU-Tidende den 27. december 2022. Herefter havde medlemslandene 21 måneder til at implementere direktivet i deres nationale lovgivning. I Danmark er NIS2-direktivet blevet behandlet af Folketinget, men fordi behandlingen tog længere tid end forventet, er tidspunktet for implementeringen af NIS2-direktivet i dansk lovgivning blevet udsat flere gange. Lovgrundlaget er nu vedtaget og det træder i kraft i Danmark d. 1. juli 2025.
Men hvorfor var der behov for en ny version af direktivet? Hvad er de vigtigste ændringer – og hvordan bliver små og mellemstore virksomheder (SMV’er) og kommuner påvirket? Denne artikel giver nogle svar.
Antallet af ransomware- og DDoS-angreb, phishing og andre former for cyberangreb stiger stødt og det har det gjort igennem en længere årrække. Ingen virksomhed eller organisation er immun over for cybertrusler. Efter store angreb på f.eks. Mærsk og SolarWinds blev supply chain-angreb igen udbredte, bl.a. mod Okta (autentificering) og GitHub (kodehosting). I stedet for at angribe virksomheder direkte, går cyberkriminelle i stigende grad efter underleverandører for lettere at få adgang til større mål.
Som vores rapport Security Navigator 2023 viser, kan enhver virksomhed blive ramt. I 2022 håndterede vores CyberSOC-teams 99.000 cybersikkerhedshændelser – en stigning på 5 %. Det svarer til 34 hændelser om måneden pr. kunde – eller én hver dag. I Europa steg antallet af ofre for cyberangreb med 18 % i 2022. Og i modsætning til, hvad mange tror, rammes VSB’er og SMV’er 4,5 gange oftere af cyberafpresning end mellemstore og store virksomheder. Angrebene involverer ofte malware, som krypterer it-systemer og ødelægger backup – med konkurser som den ultimative konsekvens. Som Orange Cyberdefenses CEO Hugues Foulon understregede 30. oktober 2022: “60 % af de virksomheder, der bliver ramt af et cyberangreb, går konkurs inden for seks måneder.” Det bør være en alvorlig påmindelse for alle virksomheder.
In its first version, adopted in 2016, the NIS 1 directive was designed to identify companies in so-called “essential” sectors, where loss of service could lead to significant disruption to companies and to state services. Companies responsible for critical infrastructure in 19 sectors, such as health, energy or telecommunications were then designated as OESs (operators of essential services).
Even though this first version represented a major step forward in standardizing security for the main European companies, it did not take into account subcontractors and local authorities, which have both been severely affected by security incidents these past few years.
NIS2 er ikke en radikal udvidelse af kravene, men en markant udvidelse af, hvem de gælder for. Direktivet har flere formål:
En væsentlig ændring er også, at begrebet OES forsvinder. I stedet introduceres to nye kategorier: væsentlige enheder (Essential Entities, EE) og vigtige enheder (Important Entities, IE), afhængigt af virksomhedens betydning for samfundet.
Med NIS2 udvides direktivets rækkevidde betragteligt. Antallet af sektorer vokser fra 19 til 35, og mange af disse – f.eks. drikkevandsforsyning, spildevandsrensning og affaldshåndtering – rummer også mindre aktører. Det betyder, at mange flere virksomheder og offentlige instanser vil være omfattet af reglerne.
Hvor det tidligere kun var udpegede OES’er, OVI’er (operatører af vital betydning) og visse digitale tjenesteudbydere (DSP’er), der var forpligtede, vil direktivet nu også omfatte kommuner, virksomheder med over 50 ansatte og mere end én million euro i omsætning samt deres underleverandører.
Hvad indebærer forpligtelserne?
De omfattede organisationer skal bl.a.:
Dette kræver investeringer i cybersikkerhed – f.eks. SOC, EDR eller XDR. Men det kan være en udfordring for kommuner og SMV’er, der mangler både teknologier og specialister.
Hvis en organisation ikke overholder direktivet, kan det få store konsekvenser. Sanktionerne varierer fra land til land, men kan inkludere:
Sanktionerne skal være proportionelle og have afskrækkende effekt.
Opsummering
NIS2-direktivet markerer et vigtigt skridt i retning af et højere cybersikkerhedsniveau i EU – også for SMV’er og kommuner. I en tid præget af geopolitiske spændinger står disse organisationer over for både ledelsesmæssige og tekniske udfordringer. Fremover vil ca. 160.000 organisationer i Europa skulle leve op til NIS2-kravene, når lovgivningen træder i kraft. Det kræver solide partnere og rådgivere, der kan hjælpe med transformationen.
7 March 2023
The NIS2 Directive: what is it? What do you have to do to comply and how can Orange Cyberdefense help?
22 November 2023
15 October 2024