Det europæiske cybersikkerhedsprojekt ECCO har i november 2024 gennemført en række vidensdelings-webinarer, der adresserer nogle af de mest presserende udfordringer for Europas digitale sikkerhed. Webinarerne, der støtter det europæiske kompetencecenter for cybersikkerhed (ECCC), har fokuseret på alt fra mangel på kvalificeret arbejdskraft til de tekniske krav i NIS2-direktivet.
Kompetencegab og uddannelsesbehov
En af de største udfordringer i sektoren er den voksende mangel på cybersikkerhedseksperter. Ifølge ISC2 2024 Cybersecurity Workforce Study mangler der globalt over 4,7 millioner medarbejdere1. Hele 64 % af de adspurgte i undersøgelsen vurderer, at manglende kompetencer har en større negativ effekt end selve personalemanglen.
I webinar-rækken blev det fremhævet, at der er et markant gab mellem industriens behov og uddannelsesinstitutionernes output. Respondenter fra erhvervslivet tillægger både professionelle og tværgående kompetencer ca. 10 % større betydning end uddannelsessektoren gør.
De sværeste roller at besætte
Årsager til manglen
Penetrationstestere
Kræver ekstrem kreativitet og diversificeret praksis
Cybersikkerhedschefer
Kræver omfattende tværgående viden
Netværksingeniører
Mangel på dyb teknisk forberedelse
Malware-analytikere
Meget lille pulje af kvalificerede kandidater
Styrkelse af forsyningskæder under NIS2
Med implementeringen af NIS2-direktivet er sikring af forsyningskæder blevet en juridisk nødvendighed for mange virksomheder. Webinarerne præsenterede modeller for leverandør-triage og risikostyring. Det foreslås at inddele leverandører i fire kategorier (Lav, Medium, Høj, Kritisk) for at målrette sikkerhedsforanstaltningerne.
Sikkerhedsforanstaltning
Lav
Medium
Høj
Kritisk
Sårbarhedsscanning
X
X
X
X
Risikoanalyse
X
X
X
Certificeringer
X
X
Audits (Revision)
X
Tekniske udfordringer i Cloud og Rumfart
Webinarerne dækkede desuden specifikke domæner:
Cloud & Edge Security: Her blev der fokuseret på udfordringer i det europæiske 'Computing Continuum', herunder behovet for koordineret indsats mod AI-drevne cybertrusler og hybridtrusler2.
Rumfartssektoren: Sikring af forsyningskæden i rumsektoren er blevet en prioritet for EU's medlemsstater, hvilket kræver nye governancemodeller for at imødegå sektorens unikke risici3.
Self-Sovereign Identity (SSI): En decentraliseret tilgang til identitetsstyring, der giver brugere kontrol over deres egne data, hvilket er essentielt for privatlivets fred i sundhedssektoren og IoT.
Fremtidige tiltag
ECCC vil fortsætte med at stille platforme til rådighed for vidensudveksling. Der lægges særlig vægt på at integrere selv-overvåget læring (Self-Supervised Learning) i systemer til registrering af indtrængen for at reducere antallet af falske alarmer og forbedre realtidsbeskyttelsen af kritiske systemer.
Lovforslaget om foranstaltninger til sikring af et højt cybersikkerhedsniveau, også kendt som NIS 2-loven, har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-direktivet) i dansk ret. Loven skal sikre et højt fælles cybersikkerhedsniveau i en bred vifte af offentlige og private sektorer i Danmark. Den finder anvendelse på enheder inden for sektorer af særlig kritisk betydning (Bilag 1) og andre kritiske sektorer (Bilag 2), men undtager enheder, der allerede er omfattet af særlovgivning for tele-, energi- og finanssektorerne, eller hvor sektorspecifikke EU-retsakter har tilsvarende virkning. Loven er udformet med en minimumsimplementering i overensstemmelse med regeringens principper for erhvervsrettet EU-regulering.
Supporting NIS2 implementation through actionable guidance
ENISA har offentliggjort nye retningslinjer og værktøjer, der skal hjælpe kritiske sektorer med at efterleve de skærpede EU-krav til cybersikkerhed.
The ECCO knowledge-sharing webinar series throughout September and October 2024
ECCO-projektet har gennemført en række videndelingswebinarer med fokus på rumsikkerhed, beskyttelse af mindreårige og innovative netværksløsninger.
European Cybersecurity Skills Conference: Intensifying our efforts to close the cybersecurity skills gap in the EU
En ny konference i Budapest sætter fokus på behovet for fælles europæiske standarder og uddannelse for at lukke det voksende kompetencegab inden for it-sikkerhed.
Supporting Policy Developments to Achieve a High Common Level of Cybersecurity
ENISA og EU-Kommissionen samarbejder om at rulle nye lovkrav ud og styrke medlemsstaternes digitale modstandskraft gennem fælles standarder og kompetenceudvikling.
Shaping Cybersecurity Policy towards a trusted and secure Europe
EU's cybersikkerhedsagentur ENISA har afholdt konference om implementering af nye lovkrav og styrkelse af den digitale modstandskraft.
Anvendelsesområde og definitioner
Anvendelsesområde (§ 1): Loven gælder for offentlige og private enheder, der er opført i lovens bilag 1 og 2. Undtagelser omfatter enheder, der er dækket af lov om styrket beredskab i energisektoren, lov om sikkerhed og beredskab i telesektoren, eller lov om finansiel virksomhed. Loven finder heller ikke anvendelse, hvis sektorspecifikke EU-retsakter har mindst samme virkning som lovens bestemmelser om cybersikkerhedsforanstaltninger og underretningspligter. Vedkommende minister kan undtage specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der udfører disse aktiviteter. Loven kan desuden udvides til at omfatte offentlige forvaltningsenheder på lokalt plan og uddannelsesinstitutioner.
Jurisdiktion (§ 2): Enheder etableret i Danmark er under dansk jurisdiktion. For DNS-tjenesteudbydere, topdomænenavneadministratorer, domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) er jurisdiktionen baseret på hovedforretningsstedet i EU, defineret som det sted, hvor beslutninger om cybersikkerhedsrisici overvejende træffes. Ikke-EU-baserede enheder, der udbyder tjenester i Unionen, skal udpege en repræsentant i en medlemsstat.
Definitioner (§ 3): Loven definerer centrale begreber som "Centralt kontaktpunkt", "Cloudcomputingtjeneste", "Cybersikkerhed", "Hændelse", "Net- og informationssystem", "Væsentlig cybertrussel" og mange flere, der er afgørende for lovens fortolkning og anvendelse.
Væsentlige enheder (§ 4): Enheder af en type omfattet af bilag 1 anses som væsentlige, hvis de beskæftiger mere end 250 personer eller har en årlig omsætning på over 50 mio. EUR og en årlig samlet balance på over 43 mio. EUR. Kommuner og regioner, der udbyder offentlige elektroniske kommunikationsnet eller -tjenester med kommercielt formål, kan også være væsentlige under visse størrelseskriterier. Visse enheder, som kvalificerede tillidstjenesteudbydere, topdomænenavneadministratorer, DNS-tjenesteudbydere, centrale offentlige forvaltningsenheder, kritiske enheder under CER-loven og tidligere NIS 1-operatører af væsentlige tjenester, anses altid for væsentlige uanset størrelse. Andre enheder kan også anses for væsentlige, hvis de er eneste udbyder af en kritisk tjeneste, forstyrrelse kan påvirke offentlig sikkerhed/sundhed, medføre systemisk risiko eller er kritisk på nationalt/regionalt plan.
Vigtige enheder (§ 5): Enheder af en type omfattet af bilag 1 eller 2, der ikke opfylder kriterierne for væsentlige enheder, men beskæftiger mere end 50 personer eller har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR, anses for vigtige. Den kompetente myndighed kan i særlige tilfælde beslutte, at en enhed, der ellers ville være væsentlig, skal anses for vigtig.
Foranstaltninger til styring af cybersikkerhedsrisici
Krav til foranstaltninger (§ 6): Væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre cybersikkerhedsrisici og forhindre hændelser. Disse foranstaltninger skal som minimum omfatte:
Politikker for risikoanalyse og informationssystemsikkerhed.
Håndtering af hændelser.
Driftskontinuitet, herunder backup-styring, reetablering efter katastrofer og krisestyring.
Forsyningskædesikkerhed, med fokus på sikkerhedsrelaterede aspekter vedrørende direkte leverandører og tjenesteudbydere.
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
Politikker og procedurer vedrørende brug af kryptografi og kryptering.
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
Enheder, der ikke overholder disse krav, skal uden unødigt ophold træffe korrigerende foranstaltninger. Vedkommende minister kan fastsætte nærmere regler om disse foranstaltninger.
Ledelsens ansvar (§ 7): Enhedens ledelsesorgan skal godkende og føre tilsyn med implementeringen af cybersikkerhedsforanstaltningerne. Medlemmer af ledelsesorganet skal deltage i relevante kurser om styring af cybersikkerhedsrisici og tilskynde til tilsvarende kurser for øvrige ansatte.
Certificering af IKT-produkter (§ 8): Vedkommende minister kan fastsætte regler om, at væsentlige og vigtige enheder skal anvende særlige IKT-produkter, -tjenester og -processer, der er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning.
Registrerings- og underretningspligter
Registreringspligt for visse digitale udbydere (§ 9): DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder der leverer domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) skal registrere sig hos den relevante kompetente myndighed med oplysninger om navn, adresse, sektor, kontaktoplysninger og de medlemsstater, hvor tjenester leveres. Registrering skal ske senest tre måneder efter, at enheden omfattes af loven, og ændringer skal meddeles inden for tre måneder.
Registreringspligt for væsentlige og vigtige enheder (§ 10): Væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, skal registrere sig hos den relevante kompetente myndighed med lignende oplysninger som nævnt i § 9. Registrering skal ske senest to uger efter, at enheden omfattes af loven, og ændringer skal meddeles inden for to uger.
Database over domænenavnsregistreringsdata (§ 11): Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal føre en særskilt database med nøjagtige og fuldstændige domænenavnsregistreringsdata, herunder domænenavn, registreringsdato, registrantens navn, e-mail og telefonnummer. De skal indføre og offentliggøre politikker og procedurer for at sikre datanøjagtighed og for at give legitime adgangssøgende adgang til specifikke data, herunder personoplysninger, inden for 72 timer efter anmodning. Ikke-personoplysninger skal gøres offentligt tilgængelige uden unødigt ophold.
Underretningspligter ved væsentlige hændelser (§ 12): Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og CSIRT om enhver væsentlig hændelse. En hændelse anses for væsentlig, hvis den forårsager alvorlige driftsforstyrrelser eller økonomiske tab for enheden, eller hvis den påvirker andre fysiske eller juridiske personer med betydelig fysisk eller ikke-fysisk skade. Vedkommende minister kan fastsætte nærmere kriterier for, hvornår en hændelse er væsentlig.
Procedure for underretning (§ 13): Underretning af væsentlige hændelser skal ske i flere trin:
Tidlig varsling: Senest 24 timer efter kendskab til hændelsen, med angivelse af mistanke om ulovlige/ondsindede handlinger eller grænseoverskridende virkning.
Hændelsesunderretning: Senest 72 timer efter kendskab, med ajourførte oplysninger og indledende vurdering af alvor og indvirkning. For tillidstjenesteudbydere er fristen 24 timer.
Foreløbig rapport: Efter anmodning fra CSIRT.
Endelig rapport: Senest én måned efter hændelsesunderretningen, med detaljeret beskrivelse, trusselstype, afbødende foranstaltninger og grænseoverskridende virkninger. Hvis hændelsen fortsat pågår, skal en statusrapport indsendes, og den endelige rapport følger senest en måned efter hændelsen er håndteret. CSIRT skal give svar og indledende tilbagemeldinger inden for 24 timer efter modtagelse af den tidlige varsling og yde vejledning og teknisk bistand efter anmodning.
Frivillige underretninger (§ 14): Offentlige og private enheder, uanset om de er omfattet af loven, kan frivilligt underrette CSIRT om hændelser, nærvedhændelser og cybertrusler. Disse underretninger behandles på samme måde som obligatoriske, men CSIRT kan prioritere de obligatoriske. Frivillige underretninger er undtaget fra aktindsigt.
Underretning og oplysning om væsentlige hændelser
Underretning af tjenestemodtagere (§ 15): Væsentlige og vigtige enheder skal uden unødigt ophold underrette modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke tjenesteleveringen negativt. De skal også informere potentielt berørte modtagere om væsentlige cybertrusler og eventuelle foranstaltninger, de kan træffe.
Offentliggørelse af hændelser (§ 16): Den relevante kompetente myndighed kan, efter høring af den berørte enhed, informere offentligheden om en væsentlig hændelse, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvis det er i offentlighedens interesse. Myndigheden kan også påbyde enheden at informere offentligheden. CSIRT kan informere offentligheden om væsentlige hændelser, der påvirker mere end én sektor eller stammer fra andre medlemsstater.
CSIRT’ens opgaver
Opgaver (§ 17): CSIRT håndterer it-sikkerhedshændelser og yder bistand til væsentlige og vigtige enheder, herunder realtidsmonitorering, reaktion på hændelser og proaktiv scanning for sårbarheder efter anmodning. CSIRT kan prioritere opgaver ud fra en risikobaseret tilgang.
Rapportering af sårbarheder (§ 18): CSIRT skal sikre, at fysiske og juridiske personer kan rapportere sårbarheder anonymt. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler herom.
Udveksling af oplysninger (§ 19): CSIRT faciliterer frivillig udveksling af cybersikkerhedsoplysninger mellem enheder i cybersikkerhedsfællesskaber. Væsentlige og vigtige enheder skal underrette den kompetente myndighed om deres deltagelse i sådanne fællesskaber.
Tilsyn og håndhævelse
Kompetente myndigheder (§ 20): Ministeren for samfundssikkerhed og beredskab fastsætter, efter forhandling med vedkommende minister, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor. Der kan fastsættes regler for at sikre operationel uafhængighed ved tilsyn med den offentlige forvaltning og for koordinering og udveksling af oplysninger mellem myndigheder og CSIRT.
Tilsyns- og kontrolforanstaltninger for væsentlige enheder (§ 21): Kompetente myndigheder fører proaktivt tilsyn med væsentlige enheder. De kan foretage kontrol på stedet og eksternt tilsyn, sikkerhedsaudits, sikkerhedsscanninger og kræve udlevering af nødvendige oplysninger og dokumentation.
Håndhævelsesforanstaltninger for væsentlige enheder (§ 22): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer, påbyde implementering af audit-anbefalinger og udpege en tilsynsførende. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.
Særlige håndhævelsesforanstaltninger for væsentlige enheder (§ 23): Hvis andre håndhævelsesforanstaltninger er utilstrækkelige, kan den kompetente myndighed midlertidigt suspendere certificeringer/godkendelser eller midlertidigt forbyde ledelsespersoner at udøve ledelsesfunktioner. Disse særlige foranstaltninger gælder dog ikke for offentlige forvaltningsenheder.
Tilsyns- og kontrolforanstaltninger for vigtige enheder (§ 24): Kompetente myndigheder fører reaktivt tilsyn med vigtige enheder, dvs. efter indikationer på manglende overholdelse. De har lignende tilsynsforanstaltninger som for væsentlige enheder, men anvender dem reaktivt.
Håndhævelsesforanstaltninger over vigtige enheder (§ 25): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer og påbyde implementering af audit-anbefalinger. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.
Høring af væsentlige og vigtige enheder (§ 26): Inden anvendelse af håndhævelsesforanstaltninger skal den berørte enhed underrettes og gives en rimelig frist til at fremsætte bemærkninger, medmindre formålet med foranstaltningen ellers ville forspildes.
Gensidig bistand
Gensidig bistand (§ 27): Kompetente myndigheder skal samarbejde med myndigheder i andre EU-medlemsstater, når en enhed leverer tjenester på tværs af grænser. Dette omfatter underretning om tilsyns- og håndhævelsesforanstaltninger, anmodninger om bistand og mulighed for fælles tilsynstiltag.
Videregivelse af oplysninger, digital kommunikation, gennemførelsesretsakter og operativ uafhængighed
Videregivelse af oplysninger (§ 28): Kompetente myndigheder kan videregive oplysninger til andre EU-medlemsstaters myndigheder og EU-institutioner for at varetage lovens opgaver.
Undtagelse fra oplysningspligt (§ 29): Loven omfatter ikke meddelelse af oplysninger, hvis videregivelse strider mod væsentlige interesser af hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Oplysninger modtaget fra andre EU-medlemsstater behandles fortroligt.
Gennemførelsesretsakter (§ 30): Vedkommende minister kan fastsætte regler, der er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet.
Digital kommunikation (§ 31): Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder brug af specifikke IT-systemer, digitale formater og digital signatur.
Straf
Straf (§ 32): Overtrædelser af lovens bestemmelser, herunder krav til foranstaltninger, registrerings- og underretningspligter, samt manglende efterkommelse af myndighedspåbud, kan straffes med bøde. Selskaber mv. (juridiske personer) kan pålægges strafansvar. Der kan også fastsættes bødestraf i forskrifter udstedt i medfør af loven.
Ikrafttrædelse, overgangsbestemmelser og ændringer i anden lovgivning
Ikrafttrædelse (§ 33): Loven træder i kraft den 1. juli 2025. En rapport om erfaringerne med loven skal udarbejdes senest 3 år efter ikrafttrædelsen. De indledende registreringspligter (§§ 9 og 10) skal opfyldes senest den 1. oktober 2025. Flere tidligere love om net- og informationssikkerhed ophæves.
Territorialbestemmelse
Territorialbestemmelse (§ 34): Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvist sættes i kraft for disse områder med de nødvendige tilpasninger.
Klima-, Energi- og Forsyningsministeriet· 5. december 2024
Lovforslag
Forslag til Lov om styrket beredskab i energisektoren
Lovforslaget om styrket beredskab i energisektoren har til formål at etablere en robust ramme for modstandsdygtighed og beredskab i den danske energisektor. Dette skal beskytte energiforsyningen mod n
Ministeriet for Samfundssikkerhed og Beredskab· 7. februar 2025
Lovforslag
Forslag til Lov om sikkerhed og beredskab i telesektoren
Dette lovforslag, 'Lov om sikkerhed og beredskab i telesektoren', har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-direktivet) for telesektoren i Danmark. Sa
