The European Parliament sets new requirements for cyber security

The new directive, NIS2, will replace the former NIS-directive (NIS1), with a scope far more extensive. The final legal text was completed in mid-June 2022, with its technical aspects, and sent to the European Parliament delegations. The next step is an approval of the directive by the co-legislators, and a publication in the official journal, the Official Journal of the European Union. The directive takes effect 20 days after publication, and member states then have 21 months to transpose the directive into national law. It is expected that the approval, and thus the publication, will take place in October 2022.

There are quite a few additions in the new directive, the most important points are outlined below. The points include; risk-based approach to cyber security, reporting obligations as well as financial sanctions.

Governance, Risk & Compliance Consultant, Andreas Juul Rasmussen, have looked into the directive, the requirements, who it will affect and how.

Note that the full article is in Danish

Historien om NIS2

Tilbage i maj måned i år (2022), kunne Europa-Parlamentet løfte sløret for den politiske aftale, der skulle erstatte det eksisterende direktiv (EU) 2016/1148. Direktiv (EU) 2016/1148 er bedre kendt som NIS-direktivet (Net- og Informationssikkerheds direktivet), eller det første EU dækkende lovgivning på cybersikkerhed.

NIS-direktivet (NIS1) blev allerede tilbage i 2020, erklæret forældet af Europa-kommissionen, med begrundelse i en stigende digitalisering, ændret trusselsbillede samt antallet af cyberangreb. Yderligere konkluderede kommissionen, at det foregående direktiv var blevet implementeret disharmonisk i medlemslandene.

Afløseren til direktivet kom som udkast, for de lovgivningsmæssige retsakter fra Europa-kommissionen, i slutningen af 2020. Forud for forslaget fra kommissionen, blev en OPC (Open Public Consultation) udført, det gav feedback fra borgere, cybersikkerhedseksperter, brancheforeninger og nationale cyber agenturer både i og uden for Den Europæiske Union.

Den endelige lovtekst blev i midten af juni 2022 færdig, med dets tekniske aspekter og sendt til Europa-Parlamentets delegationer. Næste skridt er en godkendelse af direktivet fra medlovgiverne, og en publikation i det officielle tidsskrift Den Europæiske Unions Tidende. Direktivet træder i kraft 20 dage efter publikationen, og medlemslandede har derfra 21 måneder til at omsætte direktivet til national lov. Det forventes at godkendelsen, og dermed udgivelsen vil finde sted i oktober 2022.

Hvem er omfattet af det nye direktiv?

I forhold til det tidligere NIS1-direktiv, vil det kommende NIS2-direktivs anvendelsesområde være langt mere omfangsrigt. Ved det tidligere direktivs implementering nationalt, så man en stor forskel i hvem de individuelle medlemslande, betragtede som de væsentligste enheder. NIS2 giver nu faste rammer, og harmoniserer implementeringen på tværs af Unionen.

De nedenstående grafikker beskriver hvilke forskellige sektorer, der bliver betegnet som enten væsentlige eller vigtige enheder. Virksomheder der af Annex I og Annex II, i direktivet og samtidig er af størrelsen medium eller stor og driver en forretning indenfor Unionen, skal forvente at være en del af direktivet. Enkelte enheder, uanset størrelse, vil blive underlagt direktivet, hvis fx deres service eller funktion er kritisk for den offentlige sikkerhed eller sundhed. 

Annex I og II: Væsentlige og vigtige enheder der er omfattet af NIS2-direktivet

Hvad indeholder NIS2

Der er en del tilføjelser i det nye direktiv, de vigtigste punkter bliver opridset nedenfor. Punkterne inkluderer; risikobaseret tilgang til cybersikkerhed, rapporteringsforpligtelser samt økonomiske sanktioner.

Risikostyring og rapportering i forbindelse med cybersikkerhed

Der vil være krav til ledelsesorganerne, i både væsentlige og vigtige enheder. Ledelsen vil blive pålagt at godkende de foranstaltninger, som de specifikke enheder har valgt at implementere. Tilmed vil ledelsen være ansvarlig for at føre internt tilsyn med foranstaltninger, samt være ansvarlige for eventuelle mangler ved eksterne tilsyn.

Udover ovenstående, vil ledelsen være pålagt at sikre et tilpas højt fagligt niveau inden for cybersikkerhed, der indebærer kompetencer til at vurdere cybersikkerhedsrisici og styringspraksisser samt deres indvirkning på enhedens drift.

Tekniske og organisatoriske sikkerhedskrav

Følgende tekniske og organisatoriske sikkerhedskrav, er en del af de nye minimumskrav der vil blive stillet til både væsentlige og vigtige enheder:

  • Risikovurderinger og politikker for informationssikkerhedssystemer
  • Håndtering af sikkerhedshændelser
  • Forretningskontinuitet, hvilket inkluderer backup-styring, disaster recovery og kriseledelse, i forbindelse med sikkerhedshændelser
  • Forsyningskædesikkerhed og dets sikkerhedsrelaterede aspekter, vedrørende relationerne mellem hver enhed og dens direkte leverandører eller serviceleverandører
  • Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af eventuelle sårbarheder
  • Cyber-hygiejne og træning i cybersikkerhed
  • Politikker og procedurer til vurdering af effektiviteten af implementerede foranstaltninger, til styring af cybersikkerhedsrisici
  • Politikker og procedurer for brugen af kryptografi, samt hvordan enheden benytter sig af kryptering
  • Personalesikkerhed, politikker for adgangskontrol og styring af aktiver
  • Brug af multifaktorgodkendelse (MFA) eller kontinuerlige godkendelsesløsninger, sikret tale-, video- og tekstkommunikation og sikrede kommunikationssystemer i enheden, i forbindelse med sikkerhedshændelser

Rapporteringsforpligtelser

Rapporteringsforpligtelser vil være gældende for alle enheder omfattet af direktivet, de indebærer følgende:

  • Underretning til CSIRT* eller kompetente myndigheder inden for 24 timer, efter at have fået kendskab til en sikkerhedshændelse. Denne underretning skal angive, hvis skyndet relevant, om sikkerhedshændelsen formodes at være af ulovlig eller ondsindet karakter
  • Efter 72 timer skal enheden uden unødig forsinkelse, indrapportere en indledende vurdering af sikkerhedshændelsen. Indrapporteringen skal indeholde sikkerhedshændelsens kritikalitet og påvirkning samt mulige indikatorer for kompromittering
  • Senest en måned efter sikkerhedshændelsen, skal en fyldestgørende rapport sendes til den relevante myndighed eller CSIRT*. Rapporten skal minimum indeholde følgende:
    • Detaljeret beskrivelse af sikkerhedshændelsen, dens klassificerede kritikalitet samt indvirkning på enheden
    • Type af trussel eller årsag, der var skyld i sikkerhedshændelsen
    • Anvendte og igangværende mitigerende initiativer 

* Computer Security Incident Response Team

Hvordan sikres håndhævelse af direktivet?

Ved direktivets ikrafttrædelse vil medlemsstaterne, skulle sikre håndhævelsen via tilsyn. De enkelte tilsyn vil i forbindelse med direktivet få udleveret en rettesnor for selve tilsynet, med henblik på de krav direktivet stiller til de berørte sektorer i artikel 29.

Særligt gruppen for væsentlige enheder skal forvente besøg fra tilsynsmyndighederne. Her vil målrettede sikkerhedsrevisioner baseret på risikovurderinger, sikkerhedsskanninger samt dokumentation af cybersikkerhedsforanstaltninger mv. skulle fremvises.

Modsat skal gruppen for vigtige enheder ifølge direktivet kun forvente tilsyn, hvis der forelægger tegn eller dokumentation for overtrædelser, i forhold til de forpligtelser direktivet foreskriver.

Bøder

Overtrædelser af direktivet kan straffes med bøder. Direktivet angiver at væsentlige enheder kan se frem til bøde i størrelsen, op til 10 mio. EUR eller to procent af den globale årsomsætning i den pågældende virksomhed. Modsat vil den maksimale bødestørrelse for vigtige enheder være 7 mio. EUR eller 1,4 procent af den globale årsomsætning.

Hvordan kan Dubex hjælpe?

Som tidligere beskrevet kendes den endelige udgivelse af direktivet ikke præcist, men forventes i løbet af oktober. Direktivet træder i kraft 20 dage efter publikationen, og medlemslandede har derfra 21 måneder til at omsætte direktivet til national lov.

Dubex’ Governance, Risk & Compliance team står klar med deres ekspertise inden for bl.a. compliance check, risikovurdering og sikkerhedsanalyse – så hvis din virksomhed falder inden for direktivets rammer,  kontakt da teamet for en uforpligtende snak om hvordan vi kan hjælpe jer med at efterleve kravene. Du kan også læse mere om vores Compliance Check her.

Andreas Juul Rasmussen
Andreas Juul Rasmussen

Learn more about this subject or how we can support your business:

Sofie Freja Christensen

Security and Compliance Manager

sfc@dubex.dk
+45 3283 0443

Christian Jul Jensen

Chief Sales & Marketing Officer

cjj@dubex.dk
+45 3070 2557

Address tomorrow’s challenge, today.

Talk to an expert about how we can secure your business