Få overblik over NIS2

Få overblik over NIS2

Større krav til ledelsen
– Forpligtigelse til at deltage i ansvaret for sikkerheden
– Organisationen skal være bekendte med kravene i direktivet og risikostyringsindsatsen.
– Direkte ansvar for identifikation af cyber-risici, afhjælpning af disse og at kravene overholdes.
– Krav om risikostyring og robusthed
– Implementering af skadeforbyggende foranstaltninger der reducerer risici og konsekvenser.
– Tiltag som risikovurderinger, beredskabsplaner og awareness-træning af medarbejderne, adgangskontrol og management.


Rapporterings forpligtigelser

Der bliver indført en særlig indberetningspligt, hvor virksomheden skal underrette den pågældende myndighed om væsentlige hændelser.

Indenfor 24 timer
– Computer Security Incident Response Team (EU-organ)
– Beskrivelse af hændelse

Indenfor 72 timer
Dybere beskrivelse af hændelsesforløb
– Alvorlighed, virkning, iværksatte tiltag

Indenfor 1 måned
– Fuld detaljeret rapport
– Mitigation
– Konsekvens


Hvem er omfattet

Digital infrastruktur:
DNS, datacentre, cloud-udbydere, MSP’er, kommunikationsplatforme, topdomæneadministratorer, tillidstjenester.

Energi:
Producenter, operatører, forsyning, distributører, udsendelse og salg af elektricitet, olie, gas, fjernvarme/køling, hydrogen, operatører og producenter af elbils ladestandere.

Transport:
Luft, spor, vej- og vand samt fragt- og havnevirksomheder.

Offentlig forvaltning:
Centraladministration, regioner og kommuner.

Bank- og finansielle markedsinfrastrukturer:
Bank-, kredit-, handel- og børsvirksomheder samt deres infrastruktur.

Sundhed:
Sundhedsudbydere, forskningslaboratorier i sundhedsfremme, farmaceutiske virksomheder samt producenter af medicinsk udstyr og råvarer.

Drikke- og spildevand:
Leverandører, distributører, indsamling og bortskaffelse.

Rummet:
Rumfartsinfrastruktur, software og services.

Kemikalier:
Fremstilling, produktion og distribution.

Affaldshåndtering:
Opsamling, transport, gendannelse og bortskaffelse.

Post- og kurérvirksomhed:
Klargøring, sortering, transport og levering af post og pakker.

Fødevarevirksomheder:
Fremstilling, distribution og produktion.

Digitale serviceudbydere:
Udbydere af online markedspladser, søgemaskiner, sociale platforme.

Forskning:
Forskningsorganisationer.

Produktionsvirksomheder af særligt vigtigt udstyr: Fremstilling og produktion af pharma, elektronisk, optisk udstyr, maskineri, køretøjer og reservedele, der vurderes at være særligt vigtigt for samfundet.


Er din virksomhed omfattet?

Hvis du hører ind under ovenstående kategorier, skal du være opmærksom på følgende. Du skal som virksomhed vise, hvordan jeres IT & OT-sikkerhed ser ud, hvordan I håndterer jeres IT & OT-sikkerhed, hvordan jeres IT & OT kommer op på benene igen, og hvor stærk jeres IT-sikkerhed er. I direktivet er der fastsat en række obligatoriske foranstaltninger, der omfatter:

– Risikoanalyse og informationssystemsikkerhed
– Håndtering af hændelser
– Driftskontinuitet (f.eks. backup, reetablering og krisestyring)
– Løbende vurdering af sikkerhedsforanstaltninger   
– Uddannelse af medarbejdere
– Kryptering
– Personalesikkerhed og adgangskontrol

Vil du vide mere så tag fat i os, vi kan hjælpe med både det tekniske og det juridiske. Læs mere på https://nto.dk/ot-cyber-security


Klik på linket nedenfor for at komme tilbage til vores hovedside om OT Cyber Security:


Specialister i udvikling

NTO A/S · Industrivej 8 · DK-7430 Ikast · Tlf.: +45 9715 3344 · nto@nto.dk