Ny analyse: 1079 virksomheder på tværs 12 sektorer ser ud til at blive direkte omfattet af NIS2-direktivet
Industriens Fond står sammen med bl.a. DI bag et projekt, som har kortlagt, hvor mange virksomheder der i første omgang bliver direkte berørt af det kommende NIS2-direktiv. Projektets anden fase indledes nu og sætter fokus på danske virksomheders modenhed i forhold til at imødekomme de nye krav til cybersikkerhed. Læs her om hovedkonklusionerne fra analysen og sæt kryds i kalenderen den 12. april, kl. 09-13:00 – der afholder DI en NIS2-konference og løfter sløret for et vejledningsunivers, der skal hjælpe DI’s medlemsvirksomheder med at leve op til kravene i direktivet.
Digital infrastruktur, energi og fremstilling er de sektorer med flest omfattede virksomheder
Ifølge analysen, som konsulenthuset IRIS Group har gennemført, forventes det, at 1.079 virksomheder inden for 12 sektorer vil blive direkte berørt af NIS2-direktivet. Kortlægningen bygger på viden, som er beriget og valideret af en bred følgegruppe bestående af centrale myndigheder og brancheorganisationer, herunder DI. Det skal understreges, at tallet er foreløbigt, da der stadig er uklarhed om, hvordan nogle sektorer defineres i den danske lovgivning. Et endeligt tal kan først opgøres, når den danske implementeringslovgivning ligger fast.
Desuden stiller NIS2-direktivet krav til forsyningskæde- og leverandørsikkerhed, hvilket betyder, at de omfattede virksomheder skal sikre, at deres leverandører, også skal overholde en række krav til cybersikkerhed. Derfor vil flere virksomheder indirekte blive omfattet af direktivet. Dog er der forsat usikkerhed om den endelige afgrænsning og kravene til leverandørerne, da disse vil blive lagt fast i den nationale implementering.
Kortlægningen er således det aktuelt bedste bud på, hvor bredt NIS2-reguleringen rammer de danske virksomheder.
Sektoren med flest omfattede virksomheder er digital infrastruktur, hvor over 200 virksomheder forventes at blive omfattet, mens lige under 200 virksomheder i energisektoren og sektoren fremstilling rammes af NIS2-direktivet. De tre sektorer repræsenterer samlet over halvdelen af alle de kortlagte virksomheder.
Det er bemærkelsesværdigt, at omkring 36% af de kortlagte virksomheder er mindre virksomheder, der ikke lever op til direktivets krav om minimum 50 ansatte og en bruttofortjeneste på €10 mio. De er alligevel inkluderet på grund af deres kritiske rolle for den offentlige sikkerhed eller folkesundheden. En væsentlig del af de mindre virksomheder, der ser ud til at blive omfattet, er virksomheder, som udgør kritisk digital infrastruktur, fx internetudbydere, der er kritiske, fordi en afbrydelse af deres tjenester udgør en systemisk risiko, da mange andre virksomheder i andre sektorer er afhængige af deres services.
Læs hovedkonklusionerne fra analysen her.
Den nationale implementering af direktivet
Den 27. december 2022 blev NIS2-direktivet offentliggjort i EU-tidende. Det betyder at de danske myndigheder har til og med den 17. oktober 2024 til at implementere direktivet i dansk lovgivning, som senest dagen efter 18. oktober 2024 skal træde i kraft. Formålet med NIS2 er at sikre et højt, fælles sikkerhedsniveau på tværs af den kommunikations-infrastruktur og de it-systemer og services, som samfundet er afhængige af.
Direktivet er et såkaldt minimumsdirektiv. Det betyder, at de danske myndigheder kan vælge at skærpe kravene yderligere i den nationale implementering. Det er nu op til de enkelte myndigheder at udforme beskrivelser af, hvordan man lever op til kravene. I Digital presser vi på for en så central og ensartede implementering af direktivet som muligt. Fagleder i DI Digital for digital ansvarlighed og cybersikkerhed, Morten Rosted Vang uddyber her hvorfor:
”I tilfælde af, at myndighederne vælger at gøre som de plejer, og altså implementerer NIS2 efter sektoransvarsprincippet, risikerer vi, at de forskellige nye tilsynsmyndigheder der skal etableres, bremses af en mangel på de rette kompetencer, da der i forvejen er stor efterspørgsel på cyber-kompetencer i det private. Samtidig risikerer vi, at virksomhederne drukner i bureaukrati, hvis de forskellige myndigheder vælger at implementere reglerne forskelligt. Vi kan kort sagt ende i en situation, hvor virksomheder, der er omfattet af flere sektorer, skal efterleve forskellige krav og tilsynsregimer. På den måde kan der blive mindre tid og ressourcer i virksomhederne til rent faktisk at styrke cybersikkerheden i vores kritiske infrastruktur, som er formålet med reguleringen,” siger Morten Rosted Vang.
Læs mere om vores holdning til den nationale implementering her.
Direktivet indfører minimums-krav til:
- Risikoanalyse og politik for informationssystemsikkerhed
- Håndtering af hændelser
- Driftskontinuitet, katastrofe håndtering og krisestyring
- Forsyningskædesikkerhed
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværks- og informationssystemer,
- Politikker og procedurer til vurdering af effekten af foranstaltninger til styring af cybersikkerhedsrisici
- Grundlæggende cyberhygiejne og uddannelse i cybersikkerhed
- Politikker og procedurer for brug af kryptering
- Sikkerhed for HR, adgangskontrolpolitikker og styring af aktiver
- Brugen af multifaktorautentificering eller kontinuerlig autentificeringsløsninger, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer
Brug d-mærket som et værktøj til at blive klar til den kommende lovgivning. Der er god overensstemmelse mellem D-mærkets kriterier og krav og NIS2-direktivets krav til hhv. styring og forankring i ledelsen samt krav til risikostyring og sikkerhedsforanstaltninger. Læs mere her.
NIS2 konference den 12. april, kl. 09-13:00 i Industriens Hus
Sæt kryds i kalenderes den 12. april, kl. 09:00-13:00. Der afholder DI en NIS2-konference og løfter sløret for et vejledningsunivers, der skal hjælpe DI’s medlemsvirksomheder med at leve op til kravene i direktivet. Du vil på konferencen også høre mere om resultaterne fra anden fase af analysen, som skal sætte fokus på modenhed i forhold til at imødekomme de nye krav til cybersikkerhed. Arrangementet er kun forbeholdt DI medlemmer.
Skriv dig op til DI Digitals nyhedsbrev her, hvor nærmere information på dette arrangement vil følge.