Beskyttelse af kritisk dansk infrastruktur
Kritisk infrastruktur forstås som: ”infrastruktur, herunder faciliteter, systemer, processer, netværk, teknologier, aktiver og serviceydelser, som er nødvendige for at opretholde eller genoprette samfundsvigtige funktioner" (Erhvervsstyrelsen.dk)
EU har vedtaget Net- og Informationssikkerhedsdirektivet (NIS2), som træder i kraft i dansk ret den 17. oktober 2024. En lang række virksomheder indenfor ca. 16 sektorer bliver omfattet af NIS2. NIS2 vil bl.a. indeholde skærpede krav til ledelsen, minimumskrav til styring af cyberrisici, underretning af myndigheder om sikkerhedshændelser indenfor 24-72 timer og bøder for overtrædelser. I forbindelse med den forrige Nationale Cyber- og Informationssikkerhedsstrategi (NCIS) 2017-2021 blev der for samfundskritisk infrastruktur i sektorerne sundhed, finans, søfart, transport, energi og tele etableret decentrale Cyber- og Informationssikkerhedsenheder (DCIS’er) med en operativ kapacitet, der skulle sikre informationsudveksling mellem sektorerne og Center for Cybersikkerhed samt forestå vedligeholdelsen af risiko- og sårbarhedsvurderinger. DCIS'erne blev ifm. den nuværende NCIS 2022-2025 udvidet fra de oprindelige seks til 27 for "ministerområder med ansvar for samfundsvigtige funktioner, der i væsentlig grad er it-understøttet". NIS2 er på nuværende tidspunkt det mest omfattende rammeværk, men det ikke fuldstændigt i præciseringen af de afledte sikkerhedskrav til virksomhederne.
I 2024 vil NIS2 blive suppleret med Critical Entities Resilience Directive (CER), som hovedsageligt beskriver de skærpede krav til den fysiske sikkerhed.
I Danmark vil implementeringen ske ved, at forsvarsministeriet fremsætter en hovedlov, som skaber en fælles ramme for implementeringen af NIS2 på tværs af sektorer.
Energi-, finans- og telesektorerne omfattes ikke af NIS2 hovedloven. Her vil implementeringen ske særskilt for hver af disse sektorer.
Det vil være de sektoransvarlige myndigheder, som efterfølgende får til opgave at sikre implementeringen af de nye krav. Parallelt med implementeringen af disse EU-direktiver har de sektoransvarlige myndigheder ansvaret for at identificere kritisk infrastruktur indenfor deres egen sektor og udarbejde beredskabsplaner for disse. Der udestår en officiel placering af kontrolansvaret for hhv. NIS2 og CER. Det er væsentligt at dette koordineres for at undgår silodannelse mellem de IT-sikkerhedsansvarlige (CISO), de medarbejderansvarlige (HRM) og den fysiske sikkerhed.
I nedenstående hjul har vi forsøgt at kombinere flest mulige informationer om kritisk infrastruktur fra hhv. NIS2, CER og beredskabet. Nederst på denne side kan du finde nyttige links til relevante myndigheder, vejledninger mv.
Siden bliver løbende opdateret. Ligger du inde med nyttige informationer, er du velkommen til at sende os disse. Vi vil herefter verificere oplysningerne og opdatere oversigten
Er din virksomhed kritisk infrastruktur?
Kritisk infrastruktur er de systemer, tjenester, processer, netværk, aktiver og service-ydelser, der er nødvendige for at opretholde eller genoprette samfundsvigtige funktioner.
EU har vedtaget Net- og Informationssikkerhedsdirektivet (NIS2), som træder i kraft i dansk ret til september/oktober 2024. En lang række virksomheder indenfor ca. 16 sektorer bliver omfattet af NIS2. NIS2 vil bl.a. indeholde skærpede krav til ledelsen, minimumskrav til styring af cyberrisici, underretning af myndigheder om sikkerhedshændelser indenfor 24-72 timer og bøder for overtrædelser. NIS2 er på nuværende tidspunkt det mest omfattende rammeværk, men det ikke fuldstændigt i præciseringen af de afledte sikkerhedskrav til virksomhederne.
I 2024 vil NIS2 blive suppleret med Critical Entities Resilience Directive (CER), som hovedsageligt beskriver de skærpede krav til den fysiske sikkerhed.
I Danmark vil det være de sektoransvarlige myndigheder, som efterfølgende får til opgave at sikre implementeringen af de nye krav. Parallelt med implementeringen af disse EU-direktiver, har de sektoransvarlige myndigheder ansvaret for at identificere kritisk infrastruktur indenfor deres egen sektor og udarbejde beredskabsplaner for disse. Dette arbejde koordineres af beredskabsstyrelsen.
I Danmark er der således ikke en samlet oversigt over kritisk infrastruktur. Derfor har vi søgt at samle informationer fra hhv. NIS2, CER og DORA og disse direktivers definition af kritisk infrastruktur. Vi har ligeledes inddraget informationer fra Statsministeriet, Erhvervsministeriet og Beredskabsstyrelsen.
Hvis du ligger inde med nyttige informationer eller referencer, er du velkommen til at sende os disse. Vi vil herefter verificere oplysningerne og opdatere oversigten.
Offentlige myndigheder
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
IKT-Informations og
kommunikationsteknologi
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
IKT - der gør det muligt for brugerne at få adgang til, redigere, overføre og gemme information.
Udbydere af administrerede tjenester
Udbydere af administrerede sikkerhedstjenester
Sektoransvarlig myndighed:
ErhvervsstyrelsenDCIS Tele
Transport
Rammeværk/lovgivning:
Omfattet inden for sektoren:
LuftfartLufthavne, luftfartsselskaber, der anvendes til kommercielle formål, lufthavnsdriftsorganer, trafikledelses-og kontroloperatører, der udøver flyvekontroltjenester, med 50 ansatte eller derover (sandsynligivs omfattet)
Jernbane
Infrastrukturforvaltere, jernbanevirksomheder og operatører af servicefaciliteter, med 50 ansatte eller derover (sandsynligvis omfattet)
Vand
Driftsorganer for havne, operatører af skibstrafiktjenester og rederier, som udfører passager-og godstransport ad indre vandveje i højsø- farvand eller kystnært farvand i form af søtransport, med 50 ansatte eller derover (sandsynligvis omfattet)
Vej
Vejmyndigheder, operatører af intelligente transportsystemer og operatører af smart-opladningtjenester til elbiler, med 50 ansatte eller derover (sandsynligivs omfattet)
Sektoransvarlig myndighed:
TrafikstyrelsenDCIS Søfart
DCIS Transport
Finans
Rammeværk/lovgivning:
DORA
Omfattet inden for sektoren:
Sektoransvarlig myndighed:
FinanstilsynetDCIS Finans
Sundhed
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
SundhedsstyrelsenDCIS Sundhed
Drikkevand og Spildevand
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Multiforsyningsselskaber og alle store selskaber.
Ved multiforsyningsselskaber forstås selskaber med over 800.000 m3 vandmængder årligt og yderligere forsyningsarter, og ved store selskaber forstås selskaber med over 800.000 m3 producerede vandmængder årligt.
Spildevand:
Virksomheder, og alle kommunale spildevandselskaber, der indsamler, bortskaffer eller behandler byspildevand, husspildevand eller industrispildevand.
Sektoransvarlig myndighed:
MiljøstyrelsenDCIS Vand
Digital infrastruktur
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
Arbejdet med cyber- og informationssikkerhed er baseret på sektoransvarsprincippet. Det betyder, at den myndighed, der har ansvaret for en opgave til dagligt, bevarer ansvaret under en hændelse. Det gælder både i det daglige beredskab, under hændelser og ved genopretning efter hændelser.
Hændelse inden for en sektor
Den enhed (myndighed, virksomhed og organisation), der har ansvaret for en opgave til daglig, har fortsat ansvaret, når der opstår en cyberhændelse. Enheden skal sikre, at den i den for bindelse får den aftalte bistand fra eventuelle driftsleverandører. Derudover kan enheden få bistand fra de decentrale cybersikkerhedsenheder. Det er enhedens ansvar at aktivere denne bistand, forestå den indledende hændelseshåndtering og – afhængigt af hændelsens omfang – at anmelde til politiet samt indberette til kompetente myndigheder og Center for Cybersikkerhed. Det er ligeledes den ansvarlige myndighed, virksomhed eller organisation, der som udgangspunkt varetager evt. ekstern kommunikation om hændelsen.
Større, tværgående hændelser
Ved større cyberhændelser, der påvirker flere sektorer, kan National Operativ Stab (NOST), der er forankret i Rigspolitiet, og hvor bl.a. PET og FE/Center for Cybersikkerhed er faste medlemmer, aktiveres.
Energi
Rammeværk/lovgivning:
Omfattet inden for sektoren:
Elektricitet
Elektricitetsvirksomheder, distributionssystemoperatører, transmissions- og systemoperatører, producenter, udpegede elektricitetsmarkedsoperatører, markedsdeltagere på elektricitetsmarkedet og operatører af ladestationer
Fjernvarme og fjernkøling
Operatører af fjernvarme eller fjernkøling
Olie
Olierørledningsoperatør, centrale lagerenheder og olieoperatører af olieproduktion, raffinaderier og behandlingsanlæg, olielagre og olietransmission
Gas
Forsyningsvirksomheder, distributionssystemoperatører, transmissions- systemoperatører, lagersystemoperatører, LNG-systemoperatører, naturgasvirksomheder, naturgasoperatører, raffinaderier og behandlingsanlæg
Brint
Operatører inden for brintproduktion, -lagring og –transmission.
Sektoransvarlig myndighed:
Energistyrelsen
Rumfart
Rammeværk/lovgivning:
Omfattet inden for sektoren:
Sektoransvarlig myndighed:
Transportministeriet
Forsvar
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
Forsvarsministeriet
Beredskab og politi
Rammeværk/lovgivning:
Omfattet inden for sektoren:
Redningsberedskabet i Danmark er fordelt på kommunerne, regionerne og staten. Det kommunale redningsberedskab dækker blandt andet brand og redning. Det statslige beredskab leverer støtte til det kommunale og regionale beredskab ved større hændelser. Beredskabet opstilles og koordineres af Beredskabsstyrelsen.
Sektoransvarlig myndighed:
BeredskabsstyrelsenJustitsministerietRigspolitiet
Post og udbringning
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Postbefordrende virksomheder, herunder udbydere af kurertjenester.Med 50 ansatte eller derover
(Sandsynligivs omfattet)
Sektoransvarlig myndighed:
DCIS TransportTrafikstyrelsen
Affaldshåndtering
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
Miljøstyrelsen
Kemiske produkter
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
Beredskabsstyrelsen
Fødevarer
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
Fødevarestyrelsen
Fremstilling
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Enheder, der fremstiller medicinsk udstyr og enheder, der fremstiller medicinsk udstyr til in vitro-diagnostik
Computere
Enheder inden for fremstilling af computere og elektroniske og optiske produkter
Elektrisk udstyr
Enheder inden for fremstilling af elektrisk udstyr
Maskiner m.v.
Enheder inden for fremstilling af maskiner og øvrigt udstyr.
Køretøjer
Enheder inden for fremstilling af motorkøretøjer, påhængsvogne og sættevogne
Øvrige transportmidler
Enheder inden for fremstilling af andre transportmidler
Sektoransvarlig myndighed:
Digitale udbydere
Rammeværk/lovgivning:
Omfattet indenfor sektoren:
Sektoransvarlig myndighed:
Hændelse inden for en sektor
Den enhed (myndighed, virksomhed og organisation), der har ansvaret for en opgave til daglig, har fortsat ansvaret, når der opstår en cyberhændelse. Enheden skal sikre, at den i den for bindelse får den aftalte bistand fra eventuelle driftsleverandører. Derudover kan enheden få bistand fra de decentrale cybersikkerhedsenheder. Det er enhedens ansvar at aktivere denne bistand, forestå den indledende hændelseshåndtering og – afhængigt af hændelsens omfang – at anmelde til politiet samt indberette til kompetente myndigheder og Center for Cybersikkerhed. Det er ligeledes den ansvarlige myndighed, virksomhed eller organisation, der som udgangspunkt varetager evt. ekstern kommunikation om hændelsen.
Større, tværgående hændelser
Ved større cyberhændelser, der påvirker flere sektorer, kan National Operativ Stab (NOST), der er forankret i Rigspolitiet, og hvor bl.a. PET og FE/Center for Cybersikkerhed er faste medlemmer, aktiveres.
Virksomheder, leverandører og forskningsinstitutioner
For langt de fleste virksomheder (små som store) vil reglerne i NIS2, CER og GDPR være de primære lovkrav, som de enten skal opfylde eller orientere sig mod. Dette gælder også for leverandører til virksomheder eller myndigheder inden for kritisk infrastruktur, da NIS2 og CER fastlægger krav til leverandør- og forsyningskædesikkerhed.
Visse forskningsinstitutioner karakteriseres som kritisk infrastruktur og er omfattet af de samme EU-direktiver. Alle øvrige danske forskningsinstitutioner er desuden omfattet af Undervisnings- og Forskningsministeriets retningslinjer for internationalt forsknings- og innovationssamarbejde. Retningslinjerne er også relevante for øvrige aktører på forsknings- og innovationsområdet, herunder GTS-institutterne, regionerne og forskningstunge virksomheder.
Skærpede krav til sikkerhedstiltag
Det ændrede trusselsbillede betyder, at visse sektorer er mere udsatte for ex. ulovlig påvirkning, sabotage eller spionage fra statslige aktører. Ligeledes har COVID-19 demonstreret sårbarheden i vores forsyningskæder, samt konsekvenserne af privatiseringer af særligt følsomme sektorer.
Dette stiller skærpede krav til de sikkerhedstiltag, der vælges i de respektive sektorer, så de reelt modsvarer truslerne på området. Derfor er det vigtigere end nogensinde at anlægge en holistisk tilgang til sikkerhed – og ikke udelukkende fokusere på fx IT-sikkerhed og negligere den fysiske sikkerhed, uddannelse og træning af medarbejderne m.v.
Ingen sikkerhedsleverandør kan dække alle områder af sikkerhed, men ved at dele ekspertise og arbejde sammen kan vi levere de bedste sikkerhedsløsninger til dine specifikke behov.
Vi hjælper dig med at sammensætte de rette kompetencer til netop dine behov. Det gør vi ganske gratis - fordi vi tror på værdien ved at sammensætte det rette hold fra starten". I hjulet nedenfor finder du et overblik over ydelser, som vores samarbejdspartnere tilbyder.
Herudover tilbyder kritiskinfrastruktur.dk digitale simulatorer til træning. Med digitale simulatorer bliver træning let tilgængelig uanset, hvor man fysisk befinder sig og kan repeteres i det uendelige. En af de primære fordele med digitale simulatorer er, at det er muligt at simulere komplekse scenarier og kritiske hændelser, der ellers vil være for farlige eller omkostningstunge at iscenesætte i virkeligheden.
Endeligt tilbyder Kritiskinfrastruktur Red Team øvelser, der har til formål at teste din organisations modstandsdygtighed mod moderne avancerede angribere. En Red Team test er en simulering af et reelt angreb på organisationen, hvor angriberen bruger adskillige avancerede teknikker for at opnå adgang til kritiske aktiver i organisationen. Derfor er det essentielt for organisationen at få overblik over, hvilke interne elementer, teknologier og personer, der er særligt sårbare overfor sådanne angreb
Kritisk infrastruktur.dk kan bistå virksomheder og organisationer med kortlægning og overholdelse af NIS2, CER, ISO27001, DORA og GDPR. Krav i ét rammeværk, fx ISO27001 eller GPDR, har mange overlap til de krav, der stilles i bl.a. NIS2. Er din virksomhed ISO27001-certificeret eller har kortlagt GDPR-processer vil dette arbejde med stor sandsynlighed kunne anvendes til compliance ift. NIS2, CER og DORA. Guardian Group tilbyder bistand på complianceområdet vedr.:
- Scope: Fastlæggelse af, om din virksomhed (eller kunderne i din branche) er indenfor scope af NIS2, herunder som henholdsvis ”vigtig” eller ”væsentlig” virksomhed
- Ledelsesansvar: Bistand med at vurdere, om der er etableret i) tilstrækkelig ledelsesforankret risikostyring og cybersikkerhedsstrategi, ii) tilgang til risikovurderinger, iii) dokumentations niveau og omfang, og at iv) tilstrækkelige procedurer for hændelseshåndtering
- Cyberforsikringer: Etablering af og dækning under cyberforsikring
- Hændelseshåndteringer: Regulatorisk bistand (NIS2 og GDPR)
- Kontraktsretlig bistand i forhold til at håndtere forsyningskæderisiko, 3. parter generelt og/eller i forbindelse med en hændelse
- Kontraktsretlig rådgivning omkring regulering af ansvar for sikkerhed og regulatorisk compliance
- Undervisning og awareness træning
- Compliance gap-analyse
- Generel regulatorisk compliance (NIS2, GDPR, CER, DORA)
- Opdagelsestjeneste: En løsning, der giver organisationer et overblik over organisationers ustrukturerede data, uanset om det er i skyen eller i det lokale miljø. Der foretages en kortlægning af hvor dine data er placeret, hvem der har adgang til dem, og hvordan de er beskyttet.
- Implementering og rådgivning
- Kontrol af overholdelse: Dokumentation og kortlægning af dine politikker for overholdelse og styring af informationsbeskyttelse.
Kritiskinfrastruktur.dk udbyder via partnerskaber med en række specialiserede virksomheder sikkerhedsrådgivning og implementering af løsninger indenfor cybersikkerhed, fysisk sikkerhed, træning, OT-sikkerhed, inspektion, baggrundsundersøgelser og compliance. Meget ofte har løsninger indenfor et af disse sikkerhedsområder snitflader og afhængigheder til andre sikkerhedsområder. Kritiskinfrastruktur.dk tilbyder således rådgivning ift. kortlægning, prioritering og implementering af nødvendige sikkerhedstiltag ift. krav i NIS2, CER, ISO27001 og DORA.
Vores rådgivning af virksomheder indenfor kritisk infrastruktur beror på en antagelse om, at dem vi beskytter os imod er statslige aktører eller statssponsorerede aktører. Dette stiller nogle skærpede krav til de valgte sikkerhedsløsninger, til leverandører af disse løsninger og til sammenhængen mellem sikkerhedstiltag på tværs af sikkerhedsområder. Vi tager udgangspunkt i EU-direktiverne NIS2 of CER og i vores valg af løsninger følger vi NATO's krav og standarder.
Kritiskinfrastruktur.dk tilbyder sårbarhedsanalyser med det formål at identificere mulige scenarier, der kan udgøre en trussel mod en virksomhed eller organisation. Sårbarhedsanalysen anvendes til at kortlægge risici og sårbarheder, som forskellige hændelser indebærer, og som kan kompromittere en organisations vigtigste opgaver og funktioner
Der er et stigende pres fra velorganiserede statslige og statssponsorerede hackergrupper fra det meste af verden, som stiller store krav til enhver virksomhed og organisation om at skabe og fastholde et højt cybersikkerhedsniveau. Ligeledes er det nødvendigt, at have de fornødne processer og den rette forsikringsdækning til håndtering af brud på data og IT-sikkerheden. Kritiskinfrastruktur.dk tilbyder indenfor cybersikkerhed:
- Overordnet risikovurdering
- Active Directory-analyse
- Modenhedsanalyse på Endpoint Detection and Response
- Netværksanalyse
- Backup-vurdering
- Analyse af tredjepartsintegration
- Pentest-simulering
- Cloud-sikkerhedsanalyse (Azure, AWS, Digital Ocean etc.)
- Anti-virus / Malware / EDR-systemafprøvning
- Netværksarkitektur, segmentering og isolation
- Analyse af procedure for deling af ressourcer, fildrev m.m.
- Office 365-sikkerhedsanalyse
- Implementering af XDR-løsning
- Zero Trust Azure arkitektur & løsninger
Dette er særligt relevant i efterforskningssammenhænge.
Enkeltstående sikkerhedshændelser kan virke ufarlige, men i forlængelse med andre hændelser, kan en evt. sammenhæng klarlægges. Fx kan et indbrud i affaldscontaineren, hvor der blev fundet gammel hardware, manualer eller policy-dokumenter, være en forløber for et hackerangreb.
Vi hjælper med rådgivning og konceptudvikling af sikringskoncepter, der lever op til NATO's krav og standarder på området. Vi kan stå for den fysiske etablering samt implementere koncepterne såsom indsættelse af vagter og evt. opbygning af egne vagtværn samt implementering af dronesystemer til overvågning eller patruljering af større områder. Gennem brug af kunstig intelligens kan vi desuden sikre optimal udnyttelse af den indhentede data og reducere de meget ressourcetunge processer med at bearbejde og analyse data.
Kritiskinfrastruktur.dk tilbyder både manuelle baggrundsundersøgelser samt et sagsbehandlingssystem til udførelse af automatiserede baggrundsundersøgelser på alle niveauer i en virksomhed eller organisation.
Kritiskinfrastruktur.dk tilbyder desuden baggrundsundersøgelser af din organisations potentielle samarbejds- eller forretningspartner både i Danmark og globalt. På den måde kan vi sikre, at din organisation har pålidelige interessenter både internt og eksternt.
OT-sikkerhed refererer til beskyttelse af operationelle teknologi (OT) -systemer, som er de hardware- og softwaresystemer, der bruges til at kontrollere fysiske processer og industrielle operationer. OT-systemer bruges ofte i kritiske infrastruktursektorer som energi, vand, transport og fremstilling, og de er afgørende for, at mange moderne samfund fungerer.
OT-sikkerhed bliver stadig vigtigere, efterhånden som OT-systemer bliver mere sammenkoblede, og efterhånden som cyberangreb på kritisk infrastruktur bliver hyppigere og sofistikerede. Et vellykket cyberangreb på et OT-system kan have alvorlige konsekvenser, såsom forstyrrelser af vigtige tjenester, sikkerhedsrisici og økonomiske tab. Derfor er det afgørende at implementere robuste OT-sikkerhedsforanstaltninger for at beskytte disse systemer og de mennesker og organisationer, der er afhængige af dem.
I denne sammenhæng kan Kritiskinfrastruktur.dk tilbyde:
Implementering af sikker adgangskontrol:
Adgangskontrol er mekanismer, der begrænser adgangen til OT-systemer og data til kun autoriseret personale. Dette inkluderer brug af stærke adgangskoder, multifaktorgodkendelse og begrænsning af privilegier til kun dem, der er nødvendige for jobfunktioner.
Implementering af værktøjer til sikkerhedsovervågning:
Overvågning af OT-systemer er afgørende for at opdage og reagere på sikkerhedshændelser. Dette inkluderer overvågning af usædvanlig netværkstrafik, systemadfærd og brugeraktivitet. Det er vigtigt at have både automatiserede overvågningsværktøjer og uddannet personale til at gennemgå og reagere på advarsler ved hjælp a passive netværkscanninger der ikke påvirker performance og availability for it miljø der altid skal være oppe 24/7. Dette kan integreres med organisationens overordnede SIEM system til logovervågning på tværs af IT og OT miljøet.
EU-forordninger og kritisk infrastruktur
NIS2
Network and Information Systems Directive
er en EU-forordning, der har til formål at øge sikkerheden og modstandsdygtigheden af netværks- og informations-systemer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
CER
Critical Entities Resilience Directive
er en EU-forordning, der har til formål at øge modstandsdygtigheden af kritiske infrastrukturer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
ISO27001
er en international standard for informationssikkerhed. Standarden beskriver en række krav til etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et Information Security Management System (ISMS).
DORA
Digital Operational Resilience Act
er en EU-forordning, der har til formål at øge modstandsdygtigheden af finansielle virksomheder mod cyberangreb og andre digitale trusler. Forordningen gælder for banker, forsikringsselskaber og andre finansielle virksomheder.
EU-forordninger og kritisk infrastruktur
NIS2
Network and Information Systems Directive
er en EU-forordning, der har til formål at øge sikkerheden og modstandsdygtigheden af netværks- og informations-systemer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
CER
Critical Entities Resilience Directive
er en EU-forordning, der har til formål at øge modstandsdygtigheden af kritiske infrastrukturer i hele EU. Forordningen gælder for operatører af kritisk infrastruktur og digitale tjenester.
ISO27001
er en international standard for informationssikkerhed. Standarden beskriver en række krav til etablering, implementering, vedligeholdelse og kontinuerlig forbedring af et Information Security Management System (ISMS).
DORA
Digital Operational Resilience Act
er en EU-forordning, der har til formål at øge modstandsdygtigheden af finansielle virksomheder mod cyberangreb og andre digitale trusler. Forordningen gælder for banker, forsikringsselskaber og andre finansielle virksomheder.
Net- og Informationssikkerhedsdirektivet (NIS2)
Net- og Informations-sikkerhedsdirektivet (NIS2)
De omfattede virksomheder inddeles i hhv. væsentlige og vigtige sektorer. Alle virksomheder pålægges at følge de skærpede sikkerhedskrav, og det er således ikke længere alene "traditionel" kritisk infrastruktur, der er underlagt net- og informationssikkerhedsregulering.
Loven træder i kraft den 1. januar 2025.
CFCS bliver tilsynsmyndighed.
Væsentlige sektorer
Vigtige sektorer
markedspladser, søgemaskiner og sociale platforme)
Sektorer
Critical Entities Resilience Directive (CER)
Bøder og sanktioner fastsættes af medlemsstaterne. Dels for at sikre foranstaltninger implementeres, dels for straffe overtrædelser samt for at have en afskrækkende virkning.
Loven træder i kraft den 1. januar 2025.
Beredskabsstyrelsen bliver tilsynsmyndighed.
ISO 27001
Standarden indeholder en række foranstaltninger, som omfatter anbefalinger til både politikker, processer, procedurer, organisationsstrukturer samt software- og hardware-funktioner.
ISO27001 indeholder bl.a. anbefalinger vedr.:
DORA indebærer omfattende krav til:
Digital Operational Resilience Act (DORA)
DORA sigter mod at øge robustheden og modstandsdygtigheden af digitale tjenester og infrastruktur mod cybertrusler og andre formål i finanssektoren.
Nyttige links
for cyber- og
informationssikkerhed 2022-2025
statslige myndigheder 2024
Säkerhetstjänst
2023
mod produktionsvirksomheder
Kontakt os
Ingen af vores medlemmer kan alt alene - men hver især er de blandt de dygtigste indenfor deres felt. Vi hjælper dig med at sammensætte de rette kompetencer til netop dine behov. Det gør vi ganske gratis - fordi vi tror på værdien ved at sammensætte det rette hold fra starten
Kontakt os
Ingen af vores medlemmer kan alt alene - men hver især er de blandt de dygtigste indenfor deres felt. Vi hjælper dig med at sammensætte de rette kompetencer til netop dine behov. Det gør vi ganske gratis - fordi vi tror på værdien ved at sammensætte det rette hold fra starten
VENZO A/S
Cvr-nr.: 44094126