NIS Direktivet – (Net- og informationssikkerhed)

Den 9. maj 2018 blev Lov nr. 436 offentliggjort. Det hedder i daglig tale: Net- og informationssikkerhed (NIS Direktivet).

Formålet med denne er at sikre et højt niveau for net- og informationssikkerhed, bl.a. inden for dele af den digitale infrastruktur og for visse digitale tjenester med henblik på at skabe mere robuste systemer.

SecuriOT kan komme med anbefalinger til de dele af lovgivningen, som SecuriOT har ekspertise indenfor – Anbefalinger til sikkerhedsmæssige og tekniske processer samt service og løsninger i forhold til produktionsinfrastrukturen. Eventuelle juridiske forhold  bliver ikke berørt her, men SecuriOT kan bistå vores kunder i denne dialog, hvis dette måtte være relevant. Vi vil alene have fokus på de aktiviteter som den enkelte organisation og virksomheder bør gøre, så der fokuseres ikke på de tværgående nationale og internationale aktiviteter imellem Danmark og EU ift. CSIRT-samarbejde mv.

Hvem er omfattet af loven?

Der er defineret to overordnet grupper, nemlig Udbydere af Digitale Tjenester (UDT) og Operatører af Væsentlige Tjenester (OVT). Disse er kort defineret herunder:

Udbyder af Digitale Tjenester

En “Udbyder af Digitale Tjenester (UDT)” er (§2):

a) Et elektronisk kommunikationsnet i form af radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester,

b) enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller

c) digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse.

Operatør af Væsentlig Tjenester

En “Operatør af Væsentlige Tjenester (OVT)” er (§3):

a) enheden leverer en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter

b) leveringen af tjenesten afhænger af net- og informationssystemer

c) en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten.

Hvad betyder loven for virksomheder og organisationer?

De virksomheder og organisationer, som er underlagt loven, skal opfylde 2 overordnede forpligtelser:

  1. Skal træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en vurdering af de konkrete risici.” (jvf. §5 for OVT og §8 for UDT)
  2. Skal hurtigst muligt underrette den af virksomheden underlagte styrelse og Center for Cybersikkerhed om enhver hændelse, der har betydelige konsekvenser for leveringen af deres tjeneste. (jv. §6 for OVT og §9 for UDT)

Herunder kan du læse planerne for de 6 sektorer:

SecuriOT har fokus på 4 initiativer, som gennemgående for flere af de 6 strategier:

NIS Direktivet