NIS2 gælder for mange typer virksomheder og offentlige organisationer, som er vigtige for, at samfundet fungerer, og stiller krav til, hvordan disse skal beskytte sig mod hackerangreb og andre IT-trusler. Formålet er at gøre samfundene mere robust, så kritiske sektorer er bedre rustet mod cyberangreb.
NIS2 dækker mange sektorer, herunder blandt andet:
- Energi og vand
- Transport
- Sundhed
- Finans
- Digital infrastruktur (fx internet, cloud, datacentre)
- Offentlige myndigheder
- Affald, fødevarer, post- og pakkelevering m.fl.
Flere virksomheder bliver altså omfattet – også nogle, som ikke før har haft særlige krav til IT-sikkerhed.
Hvad Kræver NIS2?:
De omfattede virksomheder og offentlige myndigheder skal forholde sig til følgende:
- Have styr på risici
De skal kende deres vigtigste systemer, data og trusler – og have en plan for at håndtere dem. - Passe godt på data og systemer
Det kan være ting som opdateringer, adgangskontrol, firewall, backup og overvågning. - Reagere hurtigt på angreb
Hvis noget går galt, skal de kunne opdage det, stoppe det og rette det op hurtigt. - Rapportere sikkerhedshændelser
Hvis de udsættes for et alvorligt angreb, skal de melde det til myndighederne inden for få timer. - Have klare roller og ansvar
Ledelsen får et større ansvar. De skal sikre, at reglerne bliver fulgt – og kan få bøder, hvis de ikke gør. - Få styr på leverandører
Virksomheder skal sikre, at deres leverandører også har god IT-sikkerhed, så kæden ikke har svage led.