Kontakt os

Beskyttelse af kritisk dansk infrastruktur

for forskning, energi, virksomheder og mennesker.
vores samarbejdspartnere:
Forståelse af kritisk infrastruktur

Er din virksomhed kritisk infrastruktur?

Læs mere

Kritisk infrastruktur forstås som: ”infrastruktur, herunder faciliteter, systemer, processer, netværk, teknologier, aktiver og serviceydelser, som er nødvendige for at opretholde eller genoprette samfundsvigtige funktioner" (Erhvervsstyrelsen.dk)

EU har vedtaget Net- og Informationssikkerhedsdirektivet (NIS2), som træder i kraft i dansk ret den 17. oktober 2024. En lang række virksomheder indenfor ca. 16 sektorer bliver omfattet af NIS2. NIS2 vil bl.a. indeholde skærpede krav til ledelsen, minimumskrav til styring af cyberrisici, underretning af myndigheder om sikkerhedshændelser indenfor 24-72 timer og bøder for overtrædelser. I forbindelse med den forrige Nationale Cyber- og Informationssikkerhedsstrategi (NCIS) 2017-2021 blev der for samfundskritisk infrastruktur i sektorerne sundhed, finans, søfart, transport, energi og tele etableret decentrale Cyber- og Informationssikkerhedsenheder (DCIS’er) med en operativ kapacitet, der skulle sikre informationsudveksling mellem sektorerne og Center for Cybersikkerhed samt forestå vedligeholdelsen af risiko- og sårbarhedsvurderinger. DCIS'erne blev ifm. den nuværende NCIS 2022-2025 udvidet fra de oprindelige seks til 27 for "ministerområder med ansvar for samfundsvigtige funktioner, der i væsentlig grad er it-understøttet". NIS2 er på nuværende tidspunkt det mest omfattende rammeværk, men det ikke fuldstændigt i præciseringen af de afledte sikkerhedskrav til virksomhederne.

I 2024 vil NIS2 blive suppleret med Critical Entities Resilience Directive (CER), som hovedsageligt beskriver de skærpede krav til den fysiske sikkerhed.

I Danmark vil implementeringen ske ved, at forsvarsministeriet fremsætter en hovedlov, som skaber en fælles ramme for implementeringen af NIS2 på tværs af sektorer.

Energi-, finans- og telesektorerne omfattes ikke af NIS2 hovedloven. Her vil implementeringen ske særskilt for hver af disse sektorer.

Det vil være de sektoransvarlige myndigheder, som efterfølgende får til opgave at sikre implementeringen af de nye krav. Parallelt med implementeringen af disse EU-direktiver har de sektoransvarlige myndigheder ansvaret for at identificere kritisk infrastruktur indenfor deres egen sektor og udarbejde beredskabsplaner for disse. Der udestår en officiel  placering af kontrolansvaret for hhv. NIS2 og CER. Det er væsentligt at dette koordineres for at undgår silodannelse mellem de IT-sikkerhedsansvarlige (CISO), de medarbejderansvarlige (HRM) og den fysiske sikkerhed.

I nedenstående hjul har vi forsøgt at kombinere flest mulige informationer om kritisk infrastruktur fra hhv. NIS2, CER og beredskabet. Nederst på denne side kan du finde nyttige links til relevante myndigheder, vejledninger mv.

Siden bliver løbende opdateret. Ligger du inde med nyttige informationer, er du velkommen til at sende os disse. Vi vil herefter verificere oplysningerne og opdatere oversigten

Kontakt os
Show MoreShow Less
Forståelse af kritisk infrastruktur

Er din virksomhed kritisk infrastruktur?

Kritisk infrastruktur er de systemer, tjenester, processer, netværk, aktiver og service-ydelser, der er nødvendige for at opretholde eller genoprette samfundsvigtige funktioner.

EU har vedtaget Net- og Informationssikkerhedsdirektivet (NIS2), som træder i kraft i dansk ret til september/oktober 2024. En lang række virksomheder indenfor ca. 16 sektorer bliver omfattet af NIS2. NIS2 vil bl.a. indeholde skærpede krav til ledelsen, minimumskrav til styring af cyberrisici, underretning af myndigheder om sikkerhedshændelser indenfor 24-72 timer og bøder for overtrædelser. NIS2 er på nuværende tidspunkt det mest omfattende rammeværk, men det ikke fuldstændigt i præciseringen af de afledte sikkerhedskrav til virksomhederne.

I 2024 vil NIS2 blive suppleret med Critical Entities Resilience Directive (CER), som hovedsageligt beskriver de skærpede krav til den fysiske sikkerhed.

I Danmark vil det være de sektoransvarlige myndigheder, som efterfølgende får til opgave at sikre implementeringen af de nye krav. Parallelt med implementeringen af disse EU-direktiver, har de sektoransvarlige myndigheder ansvaret for at identificere kritisk infrastruktur indenfor deres egen sektor og udarbejde beredskabsplaner for disse. Dette arbejde koordineres af beredskabsstyrelsen.

I Danmark er der således ikke en samlet oversigt over kritisk infrastruktur. Derfor har vi søgt at samle informationer fra hhv. NIS2, CER og DORA og disse direktivers definition af kritisk infrastruktur. Vi har ligeledes inddraget informationer fra Statsministeriet, Erhvervsministeriet og Beredskabsstyrelsen.

Hvis du ligger inde med nyttige informationer eller referencer, er du velkommen til at sende os disse. Vi vil herefter verificere oplysningerne og opdatere oversigten.

Væsentlig sektor
Vigtig sektor
Tab #0
Tab #1
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2
Tab #2

Offentlige myndigheder

Rammeværk/lovgivning: 

NIS2 (væsentlige sektorer) og CER

Omfattet indenfor sektoren:

Offentlige forvaltningsenheder under den centrale forvaltning og offentlige forvaltningsenheder på regionalt plan som defineret af en medlemsstat i overensstemmelse med national ret.

Sektoransvarlig myndighed: 

For statslige myndigheder, regioner og kommuner gælder særlige bestemmelser for beredskabsplanlægning. Ifølge beredskabslovens § 24 påhviler det hver enkelt minister at gennemføre en samlet beredskabsplanlægning for vedkommendes ministerområde(r). I praksis indebærer det, at departementet udarbejder sin egen beredskabsplan og udpeger de relevante underliggende myndigheder m.fl., der skal foretage en selvstændig beredskabsplanlægning. Ifølge beredskabslovens § 25 skal kommunerne og regionerne tilsvarende udarbejde beredskabsplaner. Planerne godkendes af kommunalbestyrelsen henholdsvis regionsrådet
Læs mere

IKT-Informations og
kommunikationsteknologi

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer)

Omfattet indenfor sektoren:

Telesektorerne vil ikke blive omfattet af NIS2-hovedloven. Implementeringen af NIS2-direktivet vil ske særskilt for denne sektor.

IKT - der gør det muligt for brugerne at få adgang til, redigere, overføre og gemme information.

Udbydere af administrerede tjenester
Udbydere af administrerede sikkerhedstjenester

Sektoransvarlig myndighed: 

Erhvervsstyrelsen
DCIS Tele
Læs mere

Finans

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer) og CER
DORA

Omfattet inden for sektoren:

Finanssektorern vil ikke blive omfattet af NIS2-hovedloven. Implementeringen af NIS2-direktivet vil ske særskilt i denne sektor.

Sektoransvarlig myndighed: 

Finanstilsynet
DCIS Finans
Læs mere

Sundhed

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer) og CER

Omfattet indenfor sektoren:

Sundhedstjenesteydere, EU-referencelaboratorier, enheder, der udfører forsknings-og udviklingsaktiviteter vedrørende lægemidler, enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater, enheder, der fremstiller medicinsk udstyr, som betragtes som kritisk under en folkesundhedskrise (listen over kritisk folkesundhedsudstyr)

Sektoransvarlig myndighed: 

Sundhedsstyrelsen
DCIS Sundhed
Læs mere

Drikkevand og Spildevand

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer) og CER

Omfattet indenfor sektoren:

Leverandører og distributører af drikkevand:
Multiforsyningsselskaber og alle store selskaber.

Ved multiforsyningsselskaber forstås selskaber med over 800.000 m3 vandmængder årligt og yderligere forsyningsarter, og ved store selskaber forstås selskaber med over 800.000 m3 producerede vandmængder årligt.

Spildevand:
Virksomheder, og alle kommunale spildevandselskaber, der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand.

Sektoransvarlig myndighed: 

Miljøstyrelsen
DCIS Vand
Læs mere

Digital infrastruktur

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer) og CER

Omfattet indenfor sektoren:

Udbydere af internetudvekslingspunkter, DNS-tjenesteudbydere, topdomænenavnregistraturer, udbydere af cloud computing-tjenester, udbydere af indholdsleveringsnetværk, udbydere af datacentertjenester, tillidstjenesteudbydere og udbydere af offentlige elektroniske kommunikationsnet

Sektoransvarlig myndighed: 

Telesektoren vil ikke blive omfattet af NIS2-hovedloven. Implementeringen af NIS2-direktivet vil ske særskilt for denne sektor.

Arbejdet med cyber- og informationssikkerhed er baseret på sektoransvarsprincippet. Det betyder, at den myndighed, der har ansvaret for en opgave til dagligt, bevarer ansvaret under en hændelse. Det gælder både i det daglige beredskab, under hændelser og ved genopretning efter hændelser.

Hændelse inden for en sektor
Den enhed (myndighed, virksomhed og organisation), der har ansvaret for en opgave til daglig, har fortsat ansvaret, når der opstår en cyberhændelse. Enheden skal sikre, at den i den for bindelse får den aftalte bistand fra eventuelle driftsleverandører. Derudover kan enheden få bistand fra de decentrale cybersikkerhedsenheder. Det er enhedens ansvar at aktivere denne bistand, forestå den indledende hændelseshåndtering og – afhængigt af hændelsens omfang – at anmelde til politiet samt indberette til kompetente myndigheder og Center for Cybersikkerhed. Det er ligeledes den ansvarlige myndighed, virksomhed eller organisation, der som udgangspunkt varetager evt. ekstern kommunikation om hændelsen.

Større, tværgående hændelser
Ved større cyberhændelser, der påvirker flere sektorer, kan National Operativ Stab (NOST), der er forankret i Rigspolitiet, og hvor bl.a. PET og FE/Center for Cybersikkerhed er faste medlemmer, aktiveres.
ErhvervsstyrelsenDCIS Tele
Læs mere

Energi

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer) og CER

Omfattet inden for sektoren:

Energisektoren vil ikke blive omfattet af NIS2-hovedloven. Implementeringen af NIS2-direktivet vil ske særskilt i denne sektor. Klima-, Energi- og Forsyningsministeriet varetager CER implementeringen i energisektoren.

Elektricitet
Elektricitetsvirksomheder, distributionssystemoperatører, transmissions- og systemoperatører, producenter, udpegede elektricitetsmarkedsoperatører, markedsdeltagere på elektricitetsmarkedet og operatører af ladestationer

Fjernvarme og fjernkøling

Operatører af fjernvarme eller fjernkøling

Olie
Olierørledningsoperatør, centrale lagerenheder og olieoperatører af olieproduktion, raffinaderier og behandlingsanlæg, olielagre og olietransmission 

Gas
Forsyningsvirksomheder, distributionssystemoperatører, transmissions- systemoperatører, lagersystemoperatører, LNG-systemoperatører, naturgasvirksomheder, naturgasoperatører, raffinaderier og behandlingsanlæg

Brint
Operatører inden for brintproduktion, -lagring og –transmission.

Sektoransvarlig myndighed: 

Energistyrelsen
Læs mere
Sektorcert

Rumfart

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer) og CER

Omfattet inden for sektoren:

Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet

Sektoransvarlig myndighed: 

Transportministeriet
Læs mere

Forsvar

Rammeværk/lovgivning:

Forsvaret har siden 2016, lige som alle andre statslige myndigheder, været forpligtet til at følge den internationale standard for informationssikkerhed ISO 27001, der fastsætter bedste praksis for styring af informationssikkerhed. Derudover er Forsvaret, som resten af staten, også underlagt tekniske minimumskrav fra både Digitaliseringsstyrelsen (DIGST) og CFCS.Forsvaret forventes at følge principperne i hhv. NIS2 og CER men er som Forsvars- og sikkerhedsmyndigheder som udgangspunkt undtaget fra direktivet og vil dermed ikke kunne pålægges bod fra EU ved manglende efterlevelse af lovgivningen eller krav om indrapportering af cyberhændelser til EU.

Omfattet indenfor sektoren:

Hvis din virksomhed virker som leverandør til Forsvaret, skal du være opmærksom på, at der sandsynligvis vil blive stillet krav om efterlevelse af NIS2 og CER

Sektoransvarlig myndighed: 

Forsvarsministeriet
Læs mere

Beredskab og politi

Rammeværk/lovgivning:

NIS2 (væsentlige sektorer) og CER

Omfattet inden for sektoren:

Politi, brandvæsen, redningstjenester, beredskabskommunikation
Hvis din virksomhed virker som underleverandør til Politi eller beredskab skal du være opmærksom på, at der sandsynligvis vil blive stillet krav om efterlevelse af NIS2 og CER.

Redningsberedskabet i Danmark er fordelt på kommunerne, regionerne og staten. Det kommunale redningsberedskab dækker blandt andet brand og redning. Det statslige beredskab leverer støtte til det kommunale og regionale beredskab ved større hændelser. Beredskabet opstilles og koordineres af Beredskabsstyrelsen.

Sektoransvarlig myndighed: 

Beredskabsstyrelsen
JustitsministerietRigspolitiet
Læs mere

Post og udbringning

Rammeværk/lovgivning:

NIS2 (vigtige sektorer)

Omfattet indenfor sektoren:

Postbefordrende virksomheder, herunder udbydere af kurertjenester.
Med 50 ansatte eller derover
(Sandsynligivs omfattet)
 

Sektoransvarlig myndighed: 

DCIS Transport
Trafikstyrelsen
Læs mere

Affaldshåndtering

Rammeværk/lovgivning:

NIS2 (vigtige sektorer)

Omfattet indenfor sektoren:

Virksomheder, der varetager affaldshåndtering, fremstilling og produktion

Sektoransvarlig myndighed: 

Miljøstyrelsen
Læs mere

Kemiske produkter

Rammeværk/lovgivning:

NIS2 (vigtige sektorer)

Omfattet indenfor sektoren: 

Virksomheder, der beskæftiger sig med fremstilling, produktion og distribution af kemikalier/kemiske produkter, herunder stoffer og artikler

Sektoransvarlig myndighed: 

Beredskabsstyrelsen
Læs mere

Fødevarer

Rammeværk/lovgivning:

NIS2 (vigtige sektorer) og CER

Omfattet indenfor sektoren:

Fødevarevirksomheder, der beskæftiger sig med engrosdistribution og industriel, produktion, fremstilning, bearbejdning eller tilvirkning

Sektoransvarlig myndighed: 

Fødevarestyrelsen
Læs mere

Fremstilling

Rammeværk/lovgivning:

NIS2 (vigtige sektorer)

Omfattet indenfor sektoren:

Medicin
Enheder, der fremstiller medicinsk udstyr og enheder, der fremstiller medicinsk udstyr til in vitro-diagnostik

Computere
Enheder inden for fremstilling af computere og elektroniske og optiske produkter

Elektrisk udstyr
Enheder inden for fremstilling af elektrisk udstyr

Maskiner m.v.
Enheder inden for fremstilling af maskiner og øvrigt udstyr.

Køretøjer
Enheder inden for fremstilling af motorkøretøjer, påhængsvogne og sættevogne

Øvrige transportmidler

Enheder inden for fremstilling af andre transportmidler

Sektoransvarlig myndighed: 

Sektoransvarlig myndighed afhænger af hvilken aktivitet indenfor fremstilling, der udføres
Læs mere

Digitale udbydere

Rammeværk/lovgivning:

NIS2 (vigtige sektorer)

Omfattet indenfor sektoren:

Udbydere af onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester

Sektoransvarlig myndighed: 

Arbejdet med cyber- og informationssikkerhed er baseret på sektoransvarsprincippet. Det betyder, at den myndighed, der har ansvaret for en opgave til dagligt, bevarer ansvaret under en hændelse. Det gælder både i det daglige beredskab, under hændelser og ved genopretning efter hændelser.

Hændelse inden for en sektor
Den enhed (myndighed, virksomhed og organisation), der har ansvaret for en opgave til daglig, har fortsat ansvaret, når der opstår en cyberhændelse. Enheden skal sikre, at den i den for bindelse får den aftalte bistand fra eventuelle driftsleverandører. Derudover kan enheden få bistand fra de decentrale cybersikkerhedsenheder. Det er enhedens ansvar at aktivere denne bistand, forestå den indledende hændelseshåndtering og – afhængigt af hændelsens omfang – at anmelde til politiet samt indberette til kompetente myndigheder og Center for Cybersikkerhed. Det er ligeledes den ansvarlige myndighed, virksomhed eller organisation, der som udgangspunkt varetager evt. ekstern kommunikation om hændelsen.

Større, tværgående hændelser
Ved større cyberhændelser, der påvirker flere sektorer, kan National Operativ Stab (NOST), der er forankret i Rigspolitiet, og hvor bl.a. PET og FE/Center for Cybersikkerhed er faste medlemmer, aktiveres.
Læs mere
Another Tab Contents
Krav til kritisk infrastruktur

Virksomheder, leverandører og forskningsinstitutioner

For langt de fleste virksomheder (små som store) vil reglerne i NIS2 og GDPR være de primære lovkrav, de enten skal opfylde eller orientere sig mod. Dette gælder også for leverandører til virksomheder eller myndigheder inden for kritisk infrastruktur, da NIS2 fastlægger krav til leverandør- og forsyningskædesikkerhed.
Learn more

For langt de fleste virksomheder (små som store) vil reglerne i NIS2, CER og GDPR være de primære lovkrav, som de enten skal opfylde eller orientere sig mod. Dette gælder også for leverandører til virksomheder eller myndigheder inden for kritisk infrastruktur, da NIS2 og CER fastlægger krav til leverandør- og forsyningskædesikkerhed.

Visse forskningsinstitutioner karakteriseres som kritisk infrastruktur og er omfattet af de samme EU-direktiver. Alle øvrige danske forskningsinstitutioner er desuden omfattet af Undervisnings- og Forskningsministeriets retningslinjer for internationalt forsknings- og innovationssamarbejde. Retningslinjerne er også relevante for øvrige aktører på forsknings- og innovationsområdet, herunder GTS-institutterne, regionerne og forskningstunge virksomheder.

Sikkerhedsløsninger

Skærpede krav til sikkerhedstiltag

Det ændrede trusselsbillede betyder, at visse sektorer er mere udsatte for ex. ulovlig påvirkning, sabotage eller spionage fra statslige aktører. Ligeledes har COVID-19 demonstreret sårbarheden i vores forsyningskæder, samt konsekvenserne af privatiseringer af særligt følsomme sektorer.

Dette stiller skærpede krav til de sikkerhedstiltag, der vælges i de respektive sektorer, så de reelt modsvarer truslerne på området. Derfor er det vigtigere end nogensinde at anlægge en holistisk tilgang til sikkerhed – og ikke udelukkende fokusere på fx IT-sikkerhed og negligere den fysiske sikkerhed, uddannelse og træning af medarbejderne m.v.

Ingen sikkerhedsleverandør kan dække alle områder af sikkerhed, men ved at dele ekspertise og arbejde sammen kan vi levere de bedste sikkerhedsløsninger til dine specifikke behov. 

Vi hjælper dig med at sammensætte de rette kompetencer til netop dine behov. Det gør vi ganske gratis - fordi vi tror på værdien ved at sammensætte det rette hold fra starten". I hjulet nedenfor finder du et overblik over ydelser, som vores samarbejdspartnere tilbyder.

Tab #1
Tab #2
Tab #3
Tab #3
Tab #3
Tab #3
Tab #3
Tab #3
0
Træning
Kritiskinfrastruktur.dk kan hjælpe jer med at øge jeres robusthed over for kritiske hændelser ved at uddanne medarbejdere og ledere i professionelt faciliterede kurser, workshops og øvelser. Til jeres medarbejdere tilbyder vi bl.a. sikkerhedskurser, awareness training og førstehjælpsuddannelse. På strategisk niveau leverer vi kriseøvelser, rollespecifik træning til medlemmer af kriseteamet samt generel uddannelse i god håndtering af sikkerhed på arbejdspladsen. Ud over de fysiske kurser kan vi også lave tilpasset og interaktiv onlinetræning. 

Herudover tilbyder kritiskinfrastruktur.dk digitale simulatorer til træning. Med digitale simulatorer bliver træning let tilgængelig uanset, hvor man fysisk befinder sig og kan repeteres i det uendelige. En af de primære fordele med digitale simulatorer er, at det er muligt at simulere komplekse scenarier og kritiske hændelser, der ellers vil være for farlige eller omkostningstunge at iscenesætte i virkeligheden.

Endeligt tilbyder Kritiskinfrastruktur Red Team øvelser, der har til formål at teste din organisations modstandsdygtighed mod moderne avancerede angribere. En Red Team test er en simulering af et reelt angreb på organisationen, hvor angriberen bruger adskillige avancerede teknikker for at opnå adgang til kritiske aktiver i organisationen. Derfor er det essentielt for organisationen at få overblik over, hvilke interne elementer, teknologier og personer, der er særligt sårbare overfor sådanne angreb
Show MoreShow Less
Compliance

Kritisk infrastruktur.dk kan bistå virksomheder og organisationer med kortlægning og overholdelse af NIS2, CER, ISO27001, DORA og GDPR. Krav i ét rammeværk, fx ISO27001 eller GPDR, har mange overlap til de krav, der stilles i bl.a. NIS2. Er din virksomhed ISO27001-certificeret eller har kortlagt GDPR-processer vil dette arbejde med stor sandsynlighed kunne anvendes til compliance ift. NIS2, CER og DORA. Guardian Group tilbyder bistand på complianceområdet vedr.:

  • Scope: Fastlæggelse af, om din virksomhed (eller kunderne i din branche) er indenfor scope af NIS2, herunder som henholdsvis ”vigtig” eller ”væsentlig” virksomhed
  • Ledelsesansvar: Bistand med at vurdere, om der er etableret i) tilstrækkelig ledelsesforankret risikostyring og cybersikkerhedsstrategi, ii) tilgang til risikovurderinger, iii) dokumentations niveau og omfang, og at iv) tilstrækkelige procedurer for hændelseshåndtering
  • Cyberforsikringer: Etablering af og dækning under cyberforsikring
  • Hændelseshåndteringer: Regulatorisk bistand (NIS2 og GDPR) 
  • Kontraktsretlig bistand i forhold til at håndtere forsyningskæderisiko, 3. parter generelt og/eller i forbindelse med en hændelse
  • Kontraktsretlig rådgivning omkring regulering af ansvar for sikkerhed og regulatorisk compliance
  • Undervisning og awareness træning
  • Compliance gap-analyse
  • Generel regulatorisk compliance (NIS2, GDPR, CER, DORA)
  • Opdagelsestjeneste: En løsning, der giver organisationer et overblik over organisationers ustrukturerede data, uanset om det er i skyen eller i det lokale miljø. Der foretages en kortlægning af hvor dine data er placeret, hvem der har adgang til dem, og hvordan de er beskyttet.
  • Implementering og rådgivning
  • Kontrol af overholdelse: Dokumentation og kortlægning af dine politikker for overholdelse og styring af informationsbeskyttelse. 
Show MoreShow Less
Sikkerhedsrådgivning

Kritiskinfrastruktur.dk udbyder via partnerskaber med en række specialiserede virksomheder sikkerhedsrådgivning og implementering af løsninger indenfor cybersikkerhed, fysisk sikkerhed, træning, OT-sikkerhed, inspektion, baggrundsundersøgelser og compliance. Meget ofte har løsninger indenfor et af disse sikkerhedsområder snitflader og afhængigheder til andre sikkerhedsområder. Kritiskinfrastruktur.dk tilbyder således rådgivning ift. kortlægning, prioritering og implementering af nødvendige sikkerhedstiltag ift. krav i NIS2, CER, ISO27001 og DORA.

Vores rådgivning af virksomheder indenfor kritisk infrastruktur beror på en antagelse om, at dem vi beskytter os imod er statslige aktører eller statssponsorerede aktører. Dette stiller nogle skærpede krav til de valgte sikkerhedsløsninger, til leverandører af disse løsninger og til sammenhængen mellem sikkerhedstiltag på tværs af sikkerhedsområder. Vi tager udgangspunkt i EU-direktiverne NIS2 of CER og i vores valg af løsninger følger vi NATO's krav og standarder.

Kritiskinfrastruktur.dk tilbyder sårbarhedsanalyser med det formål at identificere mulige scenarier, der kan udgøre en trussel mod en virksomhed eller organisation. Sårbarhedsanalysen anvendes til at kortlægge risici og sårbarheder, som forskellige hændelser indebærer, og som kan kompromittere en organisations vigtigste opgaver og funktioner

Show MoreShow Less
Cybersikkerhed

Der er et stigende pres fra velorganiserede statslige og statssponsorerede hackergrupper fra det meste af verden, som stiller store krav til enhver virksomhed og organisation om at skabe og fastholde et højt cybersikkerhedsniveau. Ligeledes er det nødvendigt, at have de fornødne processer og den rette forsikringsdækning til håndtering af brud på data og IT-sikkerheden. Kritiskinfrastruktur.dk tilbyder indenfor cybersikkerhed:

  • Overordnet risikovurdering
  • Active Directory-analyse 
  • Modenhedsanalyse på Endpoint Detection and Response
  • Netværksanalyse
  • Backup-vurdering
  • Analyse af tredjepartsintegration
  • Pentest-simulering
  • Cloud-sikkerhedsanalyse (Azure, AWS, Digital Ocean etc.)
  • Anti-virus / Malware / EDR-systemafprøvning
  • Netværksarkitektur, segmentering og isolation
  • Analyse af procedure for deling af ressourcer, fildrev m.m.
  • Office 365-sikkerhedsanalyse
  • Implementering af XDR-løsning
  • Zero Trust Azure arkitektur & løsninger
Show MoreShow Less
Fysisk sikkerhed
Sikkerhedshændelser i fx videoovervågning og adgangskontrol bør sammenstilles med aktiviteter på virksomhedens IT-infrastruktur.
Dette er særligt relevant i efterforskningssammenhænge.

Enkeltstående sikkerhedshændelser kan virke ufarlige, men i forlængelse med andre hændelser, kan en evt. sammenhæng klarlægges. Fx kan et indbrud i affaldscontaineren, hvor der blev fundet gammel hardware, manualer eller policy-dokumenter, være en forløber for et hackerangreb.

Vi hjælper med rådgivning og konceptudvikling af sikringskoncepter, der lever op til NATO's krav og standarder på området. Vi kan stå for den fysiske etablering samt implementere koncepterne såsom indsættelse af vagter og evt. opbygning af egne vagtværn samt implementering af dronesystemer til overvågning eller patruljering af større områder. Gennem brug af kunstig intelligens kan vi desuden sikre optimal udnyttelse af den indhentede data og reducere de meget ressourcetunge processer med at bearbejde og analyse data.
Show MoreShow Less
milestone logo
Inspektion
Kritiskinfrastruktur.dk tilbyder sikker dataindsamling og inspektion af kritisk infrastruktur. Data bliver indsamlet af droner, som følger skræddersyede flyveplaner til den specifikke infrastukturtype. Ved at automatisere dataindsamlingsprocessen øges sikkerheden, gentageligheden og kvaliteten af de indsamlede data. Det indsamlede data kan anvendes til at skabe en digital tvilling af infrastrukturen, som er et værktøj til at øge sikkerheden, foretage inspektioner og samt opmålinger.
Baggrundsundersøgelser
Medarbejdere, leverandører, konsulenter, håndværkere eller andre med legitim adgang til virksomhedens aktiver og data kan potentielt udgøre en sikkerhedsrisiko. Hensigterne kan variere lige fra simpelt tyveri til virksomhedsspionage eller sabotage. Derfor indskærper EU CER-direktivet, at alle virksomheder og organisationer, der kan karakteriseres som kritisk infrastruktur eller som leverandører til kritisk infrastruktur, skal gennemføre baggrundsundersøgelser for at reducere risikoen for insidere allerede i ansættelsesprocessen.

Kritiskinfrastruktur.dk tilbyder både manuelle baggrundsundersøgelser samt et sagsbehandlingssystem til udførelse af automatiserede baggrundsundersøgelser på alle niveauer i en virksomhed eller organisation. 

Kritiskinfrastruktur.dk tilbyder desuden baggrundsundersøgelser af din organisations potentielle samarbejds- eller forretningspartner både i Danmark og globalt. På den måde kan vi sikre, at din organisation har pålidelige interessenter både internt og eksternt.
Show MoreShow Less
OT-sikkerhed

OT-sikkerhed refererer til beskyttelse af operationelle teknologi (OT) -systemer, som er de hardware- og softwaresystemer, der bruges til at kontrollere fysiske processer og industrielle operationer. OT-systemer bruges ofte i kritiske infrastruktursektorer som energi, vand, transport og fremstilling, og de er afgørende for, at mange moderne samfund fungerer.

OT-sikkerhed bliver stadig vigtigere, efterhånden som OT-systemer bliver mere sammenkoblede, og efterhånden som cyberangreb på kritisk infrastruktur bliver hyppigere og sofistikerede. Et vellykket cyberangreb på et OT-system kan have alvorlige konsekvenser, såsom forstyrrelser af vigtige tjenester, sikkerhedsrisici og økonomiske tab. Derfor er det afgørende at implementere robuste OT-sikkerhedsforanstaltninger for at beskytte disse systemer og de mennesker og organisationer, der er afhængige af dem.

I denne sammenhæng kan Kritiskinfrastruktur.dk tilbyde:

Implementering af sikker adgangskontrol:
Adgangskontrol er mekanismer, der begrænser adgangen til OT-systemer og data til kun autoriseret personale. Dette inkluderer brug af stærke adgangskoder, multifaktorgodkendelse og begrænsning af privilegier til kun dem, der er nødvendige for jobfunktioner.

Implementering af værktøjer til sikkerhedsovervågning:
Overvågning af OT-systemer er afgørende for at opdage og reagere på sikkerhedshændelser. Dette inkluderer overvågning af usædvanlig netværkstrafik, systemadfærd og brugeraktivitet. Det er vigtigt at have både automatiserede overvågningsværktøjer og uddannet personale til at gennemgå og reagere på advarsler ved hjælp a passive netværkscanninger der ikke påvirker performance og availability for it miljø der altid skal være oppe 24/7. Dette kan integreres med organisationens overordnede SIEM system til logovervågning på tværs af IT og OT miljøet.

Show MoreShow Less
Sikkerhedsstandarder
EU-forordninger og kritisk infrastruktur

NIS2

Network and Information Systems Directive

er en EU-forordning, der har til formål at øge sikkerheden og modstandsdygtigheden af netværks- og informations-systemer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.

Læs om NIS2

CER

Critical Entities Resilience Directive

er en EU-forordning, der har til formål at øge modstandsdygtigheden af kritiske infrastrukturer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.

Læs om CER

ISO27001

er en international standard for informationssikkerhed. Standarden beskriver en række krav til etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et Information Security Management System (ISMS).

Læs om ISO27001

DORA

Digital Operational Resilience Act

er en EU-forordning, der har til formål at øge modstandsdygtigheden af finansielle virksomheder mod cyberangreb og andre digitale trusler. Forordningen gælder for banker, forsikringsselskaber og andre finansielle virksomheder.

Læs om DORA
Sikkerhedsstandarder
EU-forordninger og kritisk infrastruktur

NIS2

Network and Information Systems Directive

er en EU-forordning, der har til formål at øge sikkerheden og modstandsdygtigheden af netværks- og informations-systemer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.

Læs om NIS2

CER

Critical Entities Resilience Directive

er en EU-forordning, der har til formål at øge modstandsdygtigheden af kritiske infrastrukturer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.

Læs om CER

ISO27001

er en international standard for informationssikkerhed. Standarden beskriver en række krav til etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et Information Security Management System (ISMS).

Læs om ISO27001

DORA

Digital Operational Resilience Act

er en EU-forordning, der har til formål at øge modstandsdygtigheden af finansielle virksomheder mod cyberangreb og andre digitale trusler. Forordningen gælder for banker, forsikringsselskaber og andre finansielle virksomheder.

Læs om DORA
Networking and IT
Net- og Informationssikkerhedsdirektivet (NIS2)
Net- og Informations-sikkerhedsdirektivet (NIS2)
EU's nye Net- og Informationssikkerhedsdirektiv (NIS2) indfører nye krav til, hvordan virksomheder skal højne niveauet for deres cybersikkerhed, ligesom omfanget af omfattede sektorer er udvidet, og bødeniveauet er hævet markant.

De omfattede virksomheder inddeles i hhv. væsentlige og vigtige sektorer. Alle virksomheder pålægges at følge de skærpede sikkerhedskrav, og det er således ikke længere alene "traditionel" kritisk infrastruktur, der er underlagt net- og informationssikkerhedsregulering.
Loven træder i kraft den 1. januar 2025.
CFCS bliver tilsynsmyndighed.


Læs mere

Væsentlige sektorer

Offentlige myndigheder
Energi
Transport
Bankvæsen
Sundhed
Drikkevand
Digital infrastruktur (IXPer, DNS, TLD, Cloud, Datacentre, Indholdsdistribution, Tillids-tjennester)
Telekommunikation
Vandområdet og spildevand
Rumfart

Vigtige sektorer

Forskning
Post og udbringning
Affaldshåndtering
Kemiske produkter (fremstilling og distrubution)
Fødevarer (fremstilling og distribution)
Fremstilling på visse områder (pharma, computer, elektronik, optisk udstyr, elekstrisk udstyr, maskineri, kørestøjer og andet transportudstyr)
Digitale udbydere (online
markedspladser, søgemaskiner og sociale platforme)

Sektorer

11 sektorer vil blive omfattet:
Energi
Transport
Bankvæsen
Finansmarkedsinfrastruktur
Sundhed
Drikkevand
Spildevand
Digital infrastruktur
Offentlig administration
Rumfart
Fødevarer
Fysisk sikkerhed
Critical Entities Resilience Directive (CER)
Critical Entities Resilience Directive (CER) er et EU-direktiv, der parallelt med NIS2 direktivet, har til formål at styrke den kritiske infrastrukturs modstandsdygtighed. Hvor NIS2 fokuserer på cybersikkerhed, fokuserer CER på den fysiske sikkerhed, med et særligt fokus på en række trusler, herunder naturfarer, terrorangreb, insidertrusler eller sabotage.
Bøder og sanktioner fastsættes af medlemsstaterne. Dels for at sikre foranstaltninger implementeres, dels for straffe overtrædelser samt for at have en afskrækkende virkning.
Loven træder i kraft den 1. januar 2025. 
Beredskabsstyrelsen bliver tilsynsmyndighed.
Læs mere
IT, fysisk sikkerhed, organisation og adfærd
ISO 27001
ISO/IEC 27002 er en vejledende standard, som knytter sig til den internationale kravstandard for informationssikkerhed ISO/IEC 27001.

Standarden indeholder en række foranstaltninger, som omfatter anbefalinger til både politikker, processer, procedurer, organisationsstrukturer samt software- og hardware-funktioner.
Læs mere

ISO27001 indeholder bl.a. anbefalinger vedr.:

Definition af Informationssikkerhedsstyring (ISMS)
Implementering af en risikostyringsproces
Dokumentation af sikkerhedskontroller
Regelmæssig gennemgang og vurdering af ISMS
Overholdelse af konfidentialitet, integritet og tilgængelighed (CIA) for informationssikkerhed
Implementering af adgangskontrolforanstaltninger
Regelmæssig oplysningstræning for medarbejdere
Implementering af håndteringsprocedurer for hændelser
Implementering af planlægning af forretningskontinuitet

DORA indebærer omfattende krav til:

Risikostyring
Hændelsesberedskab og rapportering
Operationel penetrationstest
Tredjeparts risikostyring
Direkte tilsyn med kritiske tredjepartsleverandører
Informationsdelingsregime
Sanktioner
Lex specialis til NIS og CER
Den finansielle sektor
Digital Operational Resilience Act (DORA)
Digital Operational Resilience Act (DORA) er en forordning, som er specialregulering for finanssektoren, udover hvad der ellers er dækket under NIS2 og CER, og som bl.a. kommer til at erstatte den nuværende outsourcingbekendtgørelse.

DORA sigter mod at øge robustheden og modstandsdygtigheden af digitale tjenester og infrastruktur mod cybertrusler og andre formål i finanssektoren.
Læs mere
Nyttige links
Nyhederne åbnes i et nyt faneblad

VENZO A/S

Holistiske sikkerhedsløsninger – på tværs af sektorer og domæner
sikkerhedsstandarder
Forening
Kritisk infrastruktur
Cvr-nr.: 44094126

© 2023 Kritisk infrastruktur. Alle rettigheder forbeholdes | CVR-nr 44094126
envelopecross