De to EU-direktiver NIS2- og CER stiller markant skærpede krav til både cybersikkerhed og fysisk sikring i virksomheder, der arbejder med eller leverer til kritisk infrastruktur. For mange virksomheder – også mindre leverandører – er det afgørende at forstå, hvad direktiverne indebærer, og hvordan man lever op til de sikringsmæssige aspekter i dem. I denne artikel giver vi dig et overblik over direktiverne og viser, hvordan KIBO kan hjælpe dig i mål.
Hvad er NIS2 og CER?
NIS2-direktivet (Network and Information Systems Directive 2) har til formål at styrke cybersikkerheden på tværs af EU og udvider både omfang og krav i forhold til det tidligere NIS-direktiv. Selvom direktivet fokuserer mest på cybersikkerhed, er der også elementer vedrørende fysisk sikring.
CER-direktivet (Critical Entities Resilience Directive) har fokus på fysisk sikring og robusthed i virksomheder, der varetager samfundskritiske funktioner. I CER-direktivet er der også elementer, der vedrører cybersikkerhed.
Derfor kaldes de to direktiver ofte tvillingedirektiver, fordi de skal ses i sammenhæng: Man kan ikke opnå fuld sikkerhed ved kun at fokusere på enten fysisk eller digital sikring – det kræver begge dele.
CER: Krav til fysisk modstandsdygtighed
CER-direktivet stiller en række minimumskrav til organisationer, som er udpeget som kritiske enheder. Disse krav omfatter bl.a.:
- Hændelsesrapportering: Dokumenterede procedurer for rapportering af hændelser.
Eksempel: Hvis uvedkommende person/personer opnår adgang til en lokation og derved bryder perimeteren, skal denne detekteres med det samme f.eks. via en sensor, der igangsætter en dokumenterbar hændelsesrapportering af vedkommendes færden f.eks. via kameraoptagelse. Det samme gør sig gældende, hvis vedkommende tiltvinger sig adgang til en bygning.
Forklaring: Det er altså ikke tilstrækkeligt at kunne dokumentere, at der f.eks. har været indbrud. Man skal kunne dokumentere, hvor mange gerningspersoner der har haft adgang, præcist hvor de har været, hvor længe de har haft adgang, samt hvad de har foretaget sig. - Risikovurderinger og trusselsidentifikation
- Resiliensplaner og kriseberedskab, som skal testes regelmæssigt
- Uddannelse og øvelser for medarbejdere
- Fysisk beskyttelse af lokationer og infrastruktur
- Baggrundstjek, adgangsstyring og medarbejdersikkerhed
NIS2: Skærpede krav til cybersikkerhed
NIS2-direktivet udvider både antallet af sektorer og virksomheder, som er omfattet – og skærper kravene til cybersikkerhed og ledelsesansvar. Kravene inkluderer bl.a.:
- Direkte ledelsesforpligtelse ift. cybersikkerhed
- Løbende risikovurdering og -analyse
- Forbedrede hændelsesrapporteringsrutiner
- Øgede krav til cyberhygiejne (f.eks. opdateringer, adgangskontrol, MFA)
- Udarbejdelse og implementering af en konkret informationssikkerhedspolitik
Direktiverne gælder også underleverandører
Det er vigtigt at bemærke, at det ikke kun er de direkte operatører af kritisk infrastruktur, der er omfattet. Også leverandører og underleverandører, der leverer tjenester eller komponenter til kritiske funktioner, kan blive omfattet.
Sådan hjælper vi din virksomhed med at blive resilient
Hos KIBO Sikring tilbyder vi målrettede abonnementsløsninger, der understøtter jeres arbejde med resiliens og de sikringsmæssig aspekter i både NIS2- og CER-direktiverne – særligt med fokus på fysisk sikring, dokumentation og organisatorisk beredskab.
Vores CER Resilient-koncept hjælper din virksomhed til at imødegå både fysiske og hybride trusler. Vi kombinerer teknisk knowhow, hands-on erfaring og strategisk risikoforståelse i en samlet tilgang, hvor vi når hele vejen rundt om dit beredskab.
Resiliens i praksis – det tilbyder vi:
Med vores abonnementsbaserede modeller hjælper vi jer med at dokumentere, vedligeholde og teste jeres sikkerhedsforanstaltninger løbende, så I er forberedte før, under og efter en hændelse.
Eksempler på, hvad vores CER-løsninger indeholder:
- Risk-assessment i perimeterperspektiv – for én eller flere lokationer
- On-site simulationsøvelser (1-2 årligt) for realistisk træning
- Individuelt tilpassede workflows og beredskabsplaner
- Resilience Kit med mobile sikringsløsninger klar til akut brug
- Adgang til internationale Resilient-seminarer med nyeste viden
- Dokumentation i form af rapporter, som er brugbare ved tilsyn, audit eller hændelser
- Service- og inspektionsrapporter, der hjælper med compliance ift. fx Arbejdstilsynets bekendtgørelse nr. 428
Vores CER Basis, Robust og Resilient-abonnementer kan tilpasses jeres risikoprofil og behov – både i pris og omfang.
Lad os tage en snak om dine sikringsbehov
Du er altid velkommen til ringe eller skrive til os – uanset om det drejer sig om et konkret tilbud eller blot rådgivning.
