Sådan lever du op til NIS2-lovens cybersikkerhedskrav

I juni udgav Styrelsen for Samfundssikkerhed endnu en vejledning vedr. den nyligt vedtagne NIS2-lov – denne gang omhandlende cybersikkerhedsforanstaltninger. Vejledningen uddyber bl.a., hvilke foranstaltninger om cybersikkerhed NIS2-loven stiller krav om i § 6, stk. 1, nr. 1-10. Det er væsentlige og vigtige enheder, som defineret i lovens §§ 4 og 5, der skal leve op til førnævnte foranstaltninger.

Generelt understreger NIS2-loven, at enhederne skal anlægge en risikobaseret tilgang til sikkerhedsarbejdet, idet ikke alle er risikoeksponeret i samme grad. En risikobaseret tilgang indebærer, at enheden skal implementere de foranstaltninger, der vurderes at være nødvendige for at opnå et passende niveau af sikkerhed ift. levering af den eller de ydelser, som gør, at enheden er omfattet af NIS2-loven. Foranstaltningerne skal imidlertid som minimum omfatte de foranstaltninger, der er beskrevet i NIS2-loven.

Vejledningen skelner mellem foranstaltninger, der skal implementeres, foranstaltninger, der bør implementeres (anbefalinger), og foranstaltninger, der kan implementeres (forslag eller eksemplificeringer).

Betydningen af standarder for cybersikkerhed

For at sikre en samordnet gennemførelse af NIS2-direktivet opfordres medlemsstaterne til at tage udgangspunkt i relevante europæiske og internationale standarder samt tekniske specifikationer for sikkerheden i net- og informationssystemer. I vejledningen nævnes en række standarder, herunder ISO og IEC. En sådan certificering kan hjælpe med at dokumentere arbejdet med cybersikkerhed. 

Vejledningen fremhæver dog, at det at følge en standard kan være en støtte i arbejdet med at opfylde kravene, men det er ikke i sig selv en garanti for, at kravene faktisk er opfyldt.

Gennemgang af NIS2-lovens krav og vejledning

I vejledningen gennemgår Styrelsen for Samfundssikkerhed samtlige bestemmelser i NIS2-lovens § 6, stk. 1, og beskriver formålet med bestemmelserne samt giver eksempler på enten påkrævede eller anbefalede foranstaltninger efter loven. Vejledningen beskriver f.eks., hvordan kontinuerlig autentifikation kan anvendes til løbende at verificere en brugers identitet iht. § 6, stk. 1, nr. 10, samt at uddannelse og træning af en virksomheds medarbejdere bør ske regelmæssigt iht. § 6, stk. 1, nr. 7.

Samtidig refererer vejledningen efter hver bestemmelses foranstaltninger til relevante internationale standarder og rammeværk. Ydermere påminder vejledningen generelt ved hver enkelt bestemmelse om, at enheden regelmæssigt skal genbesøge foranstaltningerne – herunder f.eks. ved ændringer i trusselsbilledet og lignende – samt føre dokumentation.