Kritisk infrastruktur forstås som: ”infrastruktur, herunder faciliteter, systemer, processer, netværk, teknologier, aktiver og serviceydelser, som er nødvendige for at opretholde eller genoprette samfundsvigtige funktioner" (Erhvervsstyrelsen.dk)
EU har vedtaget Net- og Informationssikkerhedsdirektivet (NIS2), som træder i kraft i dansk ret den 17. oktober 2024. En lang række virksomheder indenfor ca. 16 sektorer bliver omfattet af NIS2. NIS2 vil bl.a. indeholde skærpede krav til ledelsen, minimumskrav til styring af cyberrisici, underretning af myndigheder om sikkerhedshændelser indenfor 24-72 timer og bøder for overtrædelser. I forbindelse med den forrige Nationale Cyber- og Informationssikkerhedsstrategi (NCIS) 2017-2021 blev der for samfundskritisk infrastruktur i sektorerne sundhed, finans, søfart, transport, energi og tele etableret decentrale Cyber- og Informationssikkerhedsenheder (DCIS’er) med en operativ kapacitet, der skulle sikre informationsudveksling mellem sektorerne og Center for Cybersikkerhed samt forestå vedligeholdelsen af risiko- og sårbarhedsvurderinger. DCIS'erne blev ifm. den nuværende NCIS 2022-2025 udvidet fra de oprindelige seks til 27 for "ministerområder med ansvar for samfundsvigtige funktioner, der i væsentlig grad er it-understøttet". NIS2 er på nuværende tidspunkt det mest omfattende rammeværk, men det ikke fuldstændigt i præciseringen af de afledte sikkerhedskrav til virksomhederne.
I 2024 vil NIS2 blive suppleret med Critical Entities Resilience Directive (CER), som hovedsageligt beskriver de skærpede krav til den fysiske sikkerhed.
I Danmark vil implementeringen ske ved, at forsvarsministeriet fremsætter en hovedlov, som skaber en fælles ramme for implementeringen af NIS2 på tværs af sektorer.
Energi-, finans- og telesektorerne omfattes ikke af NIS2 hovedloven. Her vil implementeringen ske særskilt for hver af disse sektorer.
Det vil være de sektoransvarlige myndigheder, som efterfølgende får til opgave at sikre implementeringen af de nye krav. Parallelt med implementeringen af disse EU-direktiver har de sektoransvarlige myndigheder ansvaret for at identificere kritisk infrastruktur indenfor deres egen sektor og udarbejde beredskabsplaner for disse. Der udestår en officiel placering af kontrolansvaret for hhv. NIS2 og CER. Det er væsentligt at dette koordineres for at undgår silodannelse mellem de IT-sikkerhedsansvarlige (CISO), de medarbejderansvarlige (HRM) og den fysiske sikkerhed.
I nedenstående hjul har vi forsøgt at kombinere flest mulige informationer om kritisk infrastruktur fra hhv. NIS2, CER og beredskabet. Nederst på denne side kan du finde nyttige links til relevante myndigheder, vejledninger mv.
Siden bliver løbende opdateret. Ligger du inde med nyttige informationer, er du velkommen til at sende os disse. Vi vil herefter verificere oplysningerne og opdatere oversigten
Kritisk infrastruktur er de systemer, tjenester, processer, netværk, aktiver og service-ydelser, der er nødvendige for at opretholde eller genoprette samfundsvigtige funktioner.
EU har vedtaget Net- og Informationssikkerhedsdirektivet (NIS2), som træder i kraft i dansk ret til september/oktober 2024. En lang række virksomheder indenfor ca. 16 sektorer bliver omfattet af NIS2. NIS2 vil bl.a. indeholde skærpede krav til ledelsen, minimumskrav til styring af cyberrisici, underretning af myndigheder om sikkerhedshændelser indenfor 24-72 timer og bøder for overtrædelser. NIS2 er på nuværende tidspunkt det mest omfattende rammeværk, men det ikke fuldstændigt i præciseringen af de afledte sikkerhedskrav til virksomhederne.
I 2024 vil NIS2 blive suppleret med Critical Entities Resilience Directive (CER), som hovedsageligt beskriver de skærpede krav til den fysiske sikkerhed.
I Danmark vil det være de sektoransvarlige myndigheder, som efterfølgende får til opgave at sikre implementeringen af de nye krav. Parallelt med implementeringen af disse EU-direktiver, har de sektoransvarlige myndigheder ansvaret for at identificere kritisk infrastruktur indenfor deres egen sektor og udarbejde beredskabsplaner for disse. Dette arbejde koordineres af beredskabsstyrelsen.
I Danmark er der således ikke en samlet oversigt over kritisk infrastruktur. Derfor har vi søgt at samle informationer fra hhv. NIS2, CER og DORA og disse direktivers definition af kritisk infrastruktur. Vi har ligeledes inddraget informationer fra Statsministeriet, Erhvervsministeriet og Beredskabsstyrelsen.
Hvis du ligger inde med nyttige informationer eller referencer, er du velkommen til at sende os disse. Vi vil herefter verificere oplysningerne og opdatere oversigten.
For langt de fleste virksomheder (små som store) vil reglerne i NIS2, CER og GDPR være de primære lovkrav, som de enten skal opfylde eller orientere sig mod. Dette gælder også for leverandører til virksomheder eller myndigheder inden for kritisk infrastruktur, da NIS2 og CER fastlægger krav til leverandør- og forsyningskædesikkerhed.
Visse forskningsinstitutioner karakteriseres som kritisk infrastruktur og er omfattet af de samme EU-direktiver. Alle øvrige danske forskningsinstitutioner er desuden omfattet af Undervisnings- og Forskningsministeriets retningslinjer for internationalt forsknings- og innovationssamarbejde. Retningslinjerne er også relevante for øvrige aktører på forsknings- og innovationsområdet, herunder GTS-institutterne, regionerne og forskningstunge virksomheder.
Det ændrede trusselsbillede betyder, at visse sektorer er mere udsatte for ex. ulovlig påvirkning, sabotage eller spionage fra statslige aktører. Ligeledes har COVID-19 demonstreret sårbarheden i vores forsyningskæder, samt konsekvenserne af privatiseringer af særligt følsomme sektorer.
Dette stiller skærpede krav til de sikkerhedstiltag, der vælges i de respektive sektorer, så de reelt modsvarer truslerne på området. Derfor er det vigtigere end nogensinde at anlægge en holistisk tilgang til sikkerhed – og ikke udelukkende fokusere på fx IT-sikkerhed og negligere den fysiske sikkerhed, uddannelse og træning af medarbejderne m.v.
Ingen sikkerhedsleverandør kan dække alle områder af sikkerhed, men ved at dele ekspertise og arbejde sammen kan vi levere de bedste sikkerhedsløsninger til dine specifikke behov.
Vi hjælper dig med at sammensætte de rette kompetencer til netop dine behov. Det gør vi ganske gratis - fordi vi tror på værdien ved at sammensætte det rette hold fra starten". I hjulet nedenfor finder du et overblik over ydelser, som vores samarbejdspartnere tilbyder.
Kritisk infrastruktur.dk kan bistå virksomheder og organisationer med kortlægning og overholdelse af NIS2, CER, ISO27001, DORA og GDPR. Krav i ét rammeværk, fx ISO27001 eller GPDR, har mange overlap til de krav, der stilles i bl.a. NIS2. Er din virksomhed ISO27001-certificeret eller har kortlagt GDPR-processer vil dette arbejde med stor sandsynlighed kunne anvendes til compliance ift. NIS2, CER og DORA. Guardian Group tilbyder bistand på complianceområdet vedr.:
Kritiskinfrastruktur.dk udbyder via partnerskaber med en række specialiserede virksomheder sikkerhedsrådgivning og implementering af løsninger indenfor cybersikkerhed, fysisk sikkerhed, træning, OT-sikkerhed, inspektion, baggrundsundersøgelser og compliance. Meget ofte har løsninger indenfor et af disse sikkerhedsområder snitflader og afhængigheder til andre sikkerhedsområder. Kritiskinfrastruktur.dk tilbyder således rådgivning ift. kortlægning, prioritering og implementering af nødvendige sikkerhedstiltag ift. krav i NIS2, CER, ISO27001 og DORA.
Vores rådgivning af virksomheder indenfor kritisk infrastruktur beror på en antagelse om, at dem vi beskytter os imod er statslige aktører eller statssponsorerede aktører. Dette stiller nogle skærpede krav til de valgte sikkerhedsløsninger, til leverandører af disse løsninger og til sammenhængen mellem sikkerhedstiltag på tværs af sikkerhedsområder. Vi tager udgangspunkt i EU-direktiverne NIS2 of CER og i vores valg af løsninger følger vi NATO's krav og standarder.
Kritiskinfrastruktur.dk tilbyder sårbarhedsanalyser med det formål at identificere mulige scenarier, der kan udgøre en trussel mod en virksomhed eller organisation. Sårbarhedsanalysen anvendes til at kortlægge risici og sårbarheder, som forskellige hændelser indebærer, og som kan kompromittere en organisations vigtigste opgaver og funktioner
Der er et stigende pres fra velorganiserede statslige og statssponsorerede hackergrupper fra det meste af verden, som stiller store krav til enhver virksomhed og organisation om at skabe og fastholde et højt cybersikkerhedsniveau. Ligeledes er det nødvendigt, at have de fornødne processer og den rette forsikringsdækning til håndtering af brud på data og IT-sikkerheden. Kritiskinfrastruktur.dk tilbyder indenfor cybersikkerhed:
OT-sikkerhed refererer til beskyttelse af operationelle teknologi (OT) -systemer, som er de hardware- og softwaresystemer, der bruges til at kontrollere fysiske processer og industrielle operationer. OT-systemer bruges ofte i kritiske infrastruktursektorer som energi, vand, transport og fremstilling, og de er afgørende for, at mange moderne samfund fungerer.
OT-sikkerhed bliver stadig vigtigere, efterhånden som OT-systemer bliver mere sammenkoblede, og efterhånden som cyberangreb på kritisk infrastruktur bliver hyppigere og sofistikerede. Et vellykket cyberangreb på et OT-system kan have alvorlige konsekvenser, såsom forstyrrelser af vigtige tjenester, sikkerhedsrisici og økonomiske tab. Derfor er det afgørende at implementere robuste OT-sikkerhedsforanstaltninger for at beskytte disse systemer og de mennesker og organisationer, der er afhængige af dem.
I denne sammenhæng kan Kritiskinfrastruktur.dk tilbyde:
Implementering af sikker adgangskontrol:
Adgangskontrol er mekanismer, der begrænser adgangen til OT-systemer og data til kun autoriseret personale. Dette inkluderer brug af stærke adgangskoder, multifaktorgodkendelse og begrænsning af privilegier til kun dem, der er nødvendige for jobfunktioner.
Implementering af værktøjer til sikkerhedsovervågning:
Overvågning af OT-systemer er afgørende for at opdage og reagere på sikkerhedshændelser. Dette inkluderer overvågning af usædvanlig netværkstrafik, systemadfærd og brugeraktivitet. Det er vigtigt at have både automatiserede overvågningsværktøjer og uddannet personale til at gennemgå og reagere på advarsler ved hjælp a passive netværkscanninger der ikke påvirker performance og availability for it miljø der altid skal være oppe 24/7. Dette kan integreres med organisationens overordnede SIEM system til logovervågning på tværs af IT og OT miljøet.
NIS2
Network and Information Systems Directive
er en EU-forordning, der har til formål at øge sikkerheden og modstandsdygtigheden af netværks- og informations-systemer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
CER
Critical Entities Resilience Directive
er en EU-forordning, der har til formål at øge modstandsdygtigheden af kritiske infrastrukturer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
ISO27001
er en international standard for informationssikkerhed. Standarden beskriver en række krav til etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et Information Security Management System (ISMS).
DORA
Digital Operational Resilience Act
er en EU-forordning, der har til formål at øge modstandsdygtigheden af finansielle virksomheder mod cyberangreb og andre digitale trusler. Forordningen gælder for banker, forsikringsselskaber og andre finansielle virksomheder.
NIS2
Network and Information Systems Directive
er en EU-forordning, der har til formål at øge sikkerheden og modstandsdygtigheden af netværks- og informations-systemer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
CER
Critical Entities Resilience Directive
er en EU-forordning, der har til formål at øge modstandsdygtigheden af kritiske infrastrukturer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
ISO27001
er en international standard for informationssikkerhed. Standarden beskriver en række krav til etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et Information Security Management System (ISMS).
DORA
Digital Operational Resilience Act
er en EU-forordning, der har til formål at øge modstandsdygtigheden af finansielle virksomheder mod cyberangreb og andre digitale trusler. Forordningen gælder for banker, forsikringsselskaber og andre finansielle virksomheder.
Ingen af vores medlemmer kan alt alene - men hver især er de blandt de dygtigste indenfor deres felt. Vi hjælper dig med at sammensætte de rette kompetencer til netop dine behov. Det gør vi ganske gratis - fordi vi tror på værdien ved at sammensætte det rette hold fra starten
Ingen af vores medlemmer kan alt alene - men hver især er de blandt de dygtigste indenfor deres felt. Vi hjælper dig med at sammensætte de rette kompetencer til netop dine behov. Det gør vi ganske gratis - fordi vi tror på værdien ved at sammensætte det rette hold fra starten