Bliv klar til NIS2
Til oktober 2024 træder EU’s nye direktiv for cybersikkerhed, NIS2, i kraft. Direktivet skal højne cybersikkerheden på tværs af samfundet gennem krav til blandt andet forankring og styring i ledelsen. Med D-mærket kan din virksomhed leve op til minimumskravene i NIS2 og den kommende danske udmøntning.
Nøgle til NIS2 - Bliv klar med D-mærket
D-mærket afholder en række events, som viser dig og din virksomhed, hvordan I kan anvende D-mærket, kriterierne og det gratis selvevalueringsværktøj til at knække koden og få hånd om arbejdet med NIS2 og forberede jer på efterlevelse af minimumskravene i direktivet.
NIS2 og D-mærket
NIS2 er en nødvendig løftestang til styrkelse af dansk erhvervslivs modstandskraft over for en stigende cybertrussel. Samtidig udgør kravene en stor udfordring, og det haster at komme i gang med at efterleve dem.
D-mærket er et rigtig godt udgangspunkt for virksomheder, der skal opfylde NIS2-kravene. D-mærkets kriterier er udviklet til at flugte med NIS2's minimumskrav, hvilket betyder, at virksomheder, der opnår D-mærket, allerede vil have taget de første skridt mod at opfylde NIS2's krav. Start med en gratis selvevaluering og bliv klar, når direktivet træder i kraft.
Bliver min virksomhed omfattet af NIS2?
NIS2-direktivet omfatter direkte private og offentlige organisationer, der arbejder i sektorer af særlig kritisk betydning eller andre kritiske sektorer. En kortlægning fra Industriens Fond viser, at det vil omfatte cirka 1.000 danske virksomheder.
Derudover bliver de omfattede virksomheder holdt ansvarlige for, at deres forsyningskædesikkerhed, herunder leverandørstyring og leverandørsikkerhed er på plads. På den måde bliver tusindvis af underleverandører indirekte omfattet af NIS2. Se om din sektor er omfattet af NIS2.
NIS2 omfattede sektorer
NIS2-omfattede sektorer af særlig kritisk betydning
- Energi
- Transport
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Sundhed
- Drikkevand
- Spildevand
- Digital Infrastruktur
- Forvaltere af IKT-tjenester
- Offentlig forvaltningRummet
Andre NIS2-omfattede kritiske sektorer
- Post- og kurertjenester
- Affaldshåndtering
- Fremstilling, produktion og distribution af kemikalier
- Fødevareproduktion og -distribution
- Fremstilling af diverse maskiner og udstyr, herunder medicinsk udstyr og computere
- Digitale udbydere
- Forskningsorganisationer
D-mærket gør dig klar til NIS2
D-mærket har –som den første mærkningsordning – mappet kriterierne i D-mærket op mod NIS2, og der er overensstemmelse.
Hvis du ikke kan leve op til D-mærkets nuværende kriterier, kan du heller ikke leve op til NIS2, uanset hvordan den danske udmøntning kommer til at se ud.
Det er ikke et quick-fix at leve op til direktivet. Derfor kan din virksomhed allerede nu bruge D-mærkets gratis selvevalueringsværktøj til at se, hvor I skal styrke indsatsen. På den måde bliver I bedre rustet til NIS2, når direktivet træder i kraft til oktober.
Efterlevelse af NIS2 behøver ikke kun være en sur pligt. Den gode nyhed er, at styrket cybersikkerhed giver konkurrencefordele. Det oplever de i i Neurospace, der er underleverandør til NIS2-omfattede virksomheder:
Alle kan sige, at de arbejder med it-sikkerhed, men vi skal kunne bevise det. Det gør vi nu med D-mærket – også i forhold til NIS2, som er en vigtig dagsorden på samtlige møder med nye kunder. Samtidig passer D-mærket godt til en lille virksomhed som vores, fordi kriterierne er tilpasset vores virkelighed og forretning.
Rasmus Steiniche
Direktør, Neurospace
Blliv klar til NIS2 med D-mærket
D-mærkets kriterier er mappet op mod minimumskravene i NIS2. Det betyder ikke at D-mærket er en garanti for NIS2-compliance, men D-mærkets kriterier flugter med minimumskravene, hvilket betyder, at virksomheder, der opnår D-mærket, vil have taget de første skridt mod at opfylde NIS2's krav.
Kom gratis i gang med D-mærket
Lever din virksomhed ikke op til D-mærkets nuværende kriterier, vil den heller ikke leve op til NIS2-direktivet, uanset hvordan den danske udmøntning kommer til at se ud.
Med værktøjet kan du se, hvilke områder din virksomhed skal arbejde med – uanset om det er en stor virksomhed eller en lille virksomhed uden tidligere erfaring med at leve op til krav af samme skala som NIS2-direktivet.
Vi er klar til at hjælpe med at komme i gang – book et opstartsmøde med en af vores auditors.
Efter færdiggjort selvevaluering bliver D-mærket tildelt på baggrund af et tilsyn, som foretages årligt for gentildeling.
Evaluér, eksekvér, effekt
D-mærkets proces er designet til at være så effektiv som mulig, så det bliver så nemt som muligt at gennemføre og opnå værdi – uanset din type af virksomhed. Den består af fire trin, der er strømlinet, så de tager højde for din tid og ressourcer, og fører dig fra den indledende evaluering til den endelige tildeling af D-mærket.
Start med selvevalueringen
Den gratis selvevaluering af din eksisterende dataanvendelse og it-sikkerhed er det første skridt på vejen til at blive D-mærket. Her måles din besvarelse mod D-mærkets standarder for din type af virksomhed, så du opnår en rapport med konkrete anvisninger, der hjælper dig videre i processen hen imod en mulig tildeling.
Indsend din ansøgning
Når du har besvaret spørgsmålene i selvevalueringen, er du klar til at indsende din ansøgning om at blive D-mærket. Her har du brug for at kunne indsende dokumentation, der viser, hvordan din virksomhed lever op til de relevante krav og kriterier, der gælder for jer. Det er først i dette trin, at I vil blive opkrævet betaling.
Tilsyn og kontrol
Når jeres ansøgning og dokumentation er gennemgået og godkendt, vil I som virksomhed modtage jeres velfortjente D-mærke - et symbol, der skaber tillid og viser jeres ansvarlighed og forpligtelse på sikkerhed overfor både kunder, kolleger og samfund.
Tildeling af D-mærket
Når jeres ansøgning og dokumentation er gennemgået og godkendt, vil I som virksomhed modtage jeres velfortjente D-mærke - et symbol, der skaber tillid og viser jeres ansvarlighed og forpligtelse på sikkerhed overfor både kunder, kolleger og samfund.
FAQ
Få svar på de oftest stillede spørgsmål om NIS2.
Hvad er NIS2, og hvem bliver omfattet?
I oktober 2024 træder EU’s nye it-sikkerhedsdirektiv NIS2 i kraft. Det har til formål at højne cybersikkerheden gennem krav til blandt andet forankring i ledelsen, risikostyring, kontrol og tilsyn. Den danske udmøntning af EU-lovgivningen træder i kraft 1. marts 2025.
En kortlægning fra Industriens Fond viser, at cirka 1.000 danske samfundskritiske virksomheder inden for en lang række sektorer vil blive direkte omfattet. Derudover vil de omfattede virksomheder ifølge direktivet blive holdt ansvarlige for, at deres kritiske leverandører også lever op til kravene. På den måde vil mange underleverandører blive indirekte omfattet af NIS2.
Manglende efterlevelse kan give bøder på op til 2 procent af virksomhedens globale omsætning, ligesom man som direktør og bestyrelse kan få frataget sin ret til at udøve ledelse i virksomheden.
Hvad betyder NIS2 for danske virksomheder?
De nye krav er en velkommen løftestang til en helt nødvendig styrkelse af dansk erhvervslivs modstandskraft over for den stigende cybertrussel. Samtidig udgør kravene en stor udfordring, og presset for at komme i gang med at leve op til kravene stiger.
Nogle af de omfattede virksomheder (direkte og indirekte) har flere tusinde medarbejdere og erfaring med at leve op til lignende lovgivning. Andre har 50 medarbejdere eller færre og har aldrig tidligere stået over for krav af samme skala.
Det er ikke et quick-fix at leve op til NIS2-direktivets minimumskrav, og med en manglende dansk udmøntning af direktivet findes der i øjeblikket ikke præcise svar på, hvad virksomheder skal stille op for at være klar, når kravene træder i kraft i oktober 2024. Men vi har retningslinjer fra EU, da NIS2-direktivet definerer en række krav, som vil være gældende på tværs af medlemsstaterne. Derfor kan virksomheder med stor fordel allerede nu begynde arbejdet hen imod efterlevelse.
D-mærket er en mærkningsordning, som hjælper virksomheder med at blive klar.
Vil alle D-mærkede virksomheder leve op til minimumskravene i NIS2 og den kommende danske udmøntning?
De virksomheder, som har behov for at leve op til minimumskravene i NIS2, kan blive klar og forberedt til efterlevelse ved at blive D-mærket.
D-mærket kategoriserer virksomheder i fire grupper alt efter risikoprofil og anvendelsesområde, som definerer de kriterier og krav, virksomheden skal leve op til for at blive D-mærket.
De virksomheder, som bliver omfattet af NIS2, vil falde i D-mærkets gruppe III og gruppe IV. Virksomheder indplaceret her vil blive forberedt til at leve op til minimumskravene i NIS2 og den kommende danske udmøntning. Dette sikres gennem D-mærkets metode til indplacering i virksomhedsgrupper, dialog med relevante myndigheder om den danske udmøntning, og løbende tilpasning af D-mærkets kriterier samt et særskilt NIS2-modul.
Hvordan sikrer D-mærket efterlevelse af NIS2?
D-mærket vil hjælpe virksomheder med at blive klar og forberedt til at leve op til den kommende danske udmøntning af NIS2 – hvis de har behovet for det.
I takt med, at NIS2 implementeres i både EU og Danmark, vil D-mærket løbende blive tilpasset, så virksomheder med behov for at leve op til den danske NIS2-udmøntning kan blive forberedt ved at blive D-mærket.
Det vil ske gennem en kombination af dialog med relevante myndigheder om den danske udmøntning, et kommende særskilt NIS2-modul i D-mærket, som inkluderer minimumskravene i NIS2 (artikel 20, 21 og 23) og den kommende danske udmøntning, samt løbende tilpasning af D-mærkets kriterier.
Mapping-værktøj
D-mærkets digitale mapping-værktøj bliver løbende opdateret i takt med viden om den danske udmøntning af NIS2, så virksomhederne kun behøver at gå ét sted hen for at holde sig ajour. Her kan virksomheder se, hvordan D-mærket som mærkningsordning relaterer sig til NIS2, og hvordan virksomhedens egen gruppeindplacering og kriterietildeling i D-mærket relaterer sig til NIS2.D-mærket vil desuden proaktivt oplyse virksomheder, for hvem NIS2 er relevant, om eventuelt behov for yderligere handling i forbindelse med minimumskravene i NIS2. Det sker ved at gøre mapping-værktøjet til en integreret del af D-mærkets selvevalueringsværktøj og udvikle et særskilt NIS2-modul, som inkluderer minimumskravene i NIS2 og den kommende danske udmøntning – også hvis den bliver sektorspecifik.
NIS2-direktivet lægger desuden op til, at virksomheder bruger europæiske eller internationalt accepterede sikkerhedsstandarder eller EU-landenes egne nationale standarder for at sikre, at kravene efterleves. Det stemmer overens med D-mærket, som bygger på europæiske og internationalt anerkendte standarder og rammeværker.
Hvordan flugter D-mærkets kriterier med minimumskravene i NIS2?
D-mærket har – så vidt vidende som den første mærkningsordning – mappet kriterierne i D-mærket op mod NIS2, og der er overensstemmelse. Virksomheder med D-mærket lever altså op til kravene til styring og forankring i ledelsen og minimumskravene i NIS2-direktivet (hvis de er indplaceret i D-mærkets virksomhedsgruppe III og gruppe IV).
Mappingen sammenligner NIS2-direktivets krav til styring og forankring i ledelsen og 10 minimumskrav direkte med relevante kriterier og krav i D-mærket.
Mappingen eksisterer også som et digitalt værktøj, hvor virksomheder kan holde D-mærket op imod NIS2, ISO/IEC 2700X og lignende standarder. Det bliver løbende opdateret i takt med viden om den danske udmøntning af NIS2.
D-mærkets kriterier og krav lever ikke i øjeblikket op til NIS2-direktivets artikel 23 om rapporteringsforpligtelser til myndigheder. Det vil D-mærket sikre gennem et særskilt NIS2-modul.
Hvem kan garantere efterlevelse ved NIS2-tilsyn?
Ved at leve op til D-mærkets krav og kriterier fordi Fordi der er overenstemmelse mellem D-mærkets krav og kriterier og NIS2-direktivets minimumskrav, vil din virksomhed også leve op til NIS2
Ved at blive D-mærket vil din virksomhed leve op til minimumskravene i NIS2 og den kommende danske udmøntning, hvis I har behov for det. Det sikres gennem en kombination af dialog med relevante myndigheder om den danske udmøntning, et særskilt NIS2-modul i D-mærket samt løbende tilpasning af D-mærkets kriterier.
Med D-mærket vil du virksomhed leve op til flere af NIS2 minimumskravene, hvis I har behov for det. Men en garanti for efterlevelse ved tilsyn kan kun myndighederne stille – det gælder for NIS2 og for alle andre myndighedstilsyn. En virksomhed eller organisation kan altså ikke bestå et myndighedstilsyn alene ved at fremvise et D-mærke.
Lever de virksomheder, som allerede er D-mærket, op til NIS2 og den danske udmøntning?
D-mærket vil proaktivt orientere de D-mærkede virksomheder, som kan have behov for at leve op til NIS2-kravene. Det vil ske i forbindelse med virksomhedernes årlige gentildeling af D-mærket.
Her vil D-mærket oplyse om eventuelt behov for yderligere handling for den enkelte virksomhed samt tilbyde et særskilt NIS2-modul, som sikrer efterlevelse af minimumskravene i NIS2 og den kommende danske udmøntning – også hvis den bliver sektorspecifik.
Hvor kan jeg ellers læse om NIS2?
- Medlemmer af Dansk Industri har adgang til et væld af viden, vejledninger og anden hjælp til at finde ud af, om de er omfattet af NIS2, og hvordan de kan rent praktisk lever op til kravene, fx er der oversigt over rådgivere, der kan hjælpe din virksomhed:
“NIS2 Vejledningsunivers” (kræver DI-medlemskab) - IT-Branchen har taget temperaturen på NIS2 i Danmark. På den baggrund giver de 13 anbefalinger til, hvad virksomheder bør gøre for at leve op til direktivet, og hvordan danske myndigheder kan sikre den gode implementering:
“13 skarpe anbefalinger skal sikre en succesfuld NIS2-implementering” - Bliv klogere på NIS2 og alt fra direktivets minimumskrav til at komme i gang og få hjælp. IT-Branchens NIS2-univers giver et hurtigt og godt overblik over direktivet, og det kan hjælpe dig et skridt nærmere efterlevelse. Besøg universet her.
- Medlemmer af Dansk Industri har adgang til et væld af viden, vejledninger og anden hjælp til at finde ud af, om de er omfattet af NIS2, og hvordan de kan rent praktisk lever op til kravene, fx er der oversigt over rådgivere, der kan hjælpe din virksomhed: