Ny vejledning om implementering af NIS 2-lovens cybersikkerhedsforanstaltninger

Styrelsen for Samfundssikkerhed (SAMSIK) har udgivet en vejledning, som hjælper virksomheder og myndigheder med at forstå NIS 2-lovens krav til foranstaltninger.

NIS 2-loven stiller en række krav til foranstaltninger til styring af cybersikkkerhedsrisici, som NIS 2-omfattede enheder skal implementere. Den nye vejledning giver en uddybning og fortolkning af kravene og kommer med hjælp til, hvad enhederne kan gøre for at overholde loven.

Ud over at uddybe begreber fra NIS 2-loven som eksempelvis cyberhygiejne og forsyningskædesikkerhed, beskriver vejledningen god praksis for arbejdet med cyber- og informationssikkerhed.  

Flere af de omfattede enheder vil formentlig opleve, at de allerede arbejder med flere af kravene i NIS 2-loven, da den tager udgangspunkt i foranstaltninger, som er grundlæggende inden for cybersikkerhed og følger en risikobaseret tilgang til sikkerhedsarbejdet.

EU opfordrer medlemsstater til at basere arbejdet med cybersikkerhed på europæiske og internationale standarder, og flere omfattede enheder arbejder allerede med standarder i deres sikkerhedsarbejde. Derfor er der i hvert kapitel en liste over de afsnit i de relevante europæiske og internationale standarder, der behandler tilsvarende foranstaltninger.

Vejledningen er én af en række generelle og tværgående vejledninger, der skal uddybe centrale krav og begreber i NIS 2-loven. De tværgående vejledninger kan suppleres af mere sektorspecifik vejledning ved den relevante sektoransvarlige myndighed. Der er indtil videre ikke udarbejdet sektorspecifikke vejledninger.