Cybersikkerhed og resiliens

Vores rådgivning om cybersikkerhed og resiliens kombineres sømløst med specialiseret juridisk faglighed samt teknisk og forretningsmæssig indsigt i organisation og samfund.

Vores rådgivning om cybersikkerhed og resiliens kombineres sømløst med specialiseret juridisk faglighed samt teknisk og forretningsmæssig indsigt i organisation og samfund.

RÅDGIVNING I CYBERSIKKERHED OG RESILIENS

Vores advokater og rådgivere inden for sikkerhed og resiliens hjælper vores kunder med at opnå compliance med lovgivning på cybersikkerhedsområdet, f.eks. med NIS2, DORA og CER. Vi hjælper også virksomheder med cybersikkerheden i it- eller teknologiprojekter, f.eks. med at stille krav til leverandøren om cybersikkerhed eller i kontraktforhandlinger. Endelig hjælper vi vores kunder med at håndtere sikkerhedsbrud både internt og eksternt i forhold til samarbejdspartnere og dermed minimere cyberangreb.

CYBERSIKKERHED OG RESILIENS I PRIVATE OG OFFENTLIGE VIRKSOMHEDER

Cybersikkerhed er afgørende for at minimere risikoen for cyberangreb, både i private og offentlige organisationer. Sikkerhedsbrud kan føre til produktionsstop og omdømmetab samt bøder og erstatningsansvar. I vores digitaliserede og datadrevne samfund er det helt centralt at have styr på sikkerheden, men også at kunne dokumentere digital sikkerhed for samarbejdspartnere og myndigheder. Samtidig er cybersikkerhed for virksomheder komplekst og forudsætter, at forskellige specialister inden for informationssikkerhed og it-sikkerhed samarbejder om at finde de løsninger, der understøtter forretningen på den bedste måde.

EN PÅLIDELIG PARTNER – JURIDISK OG FORRETNINGSMÆSSIG RÅDGIVNING FOR SIKKERHED

Vores advokater og rådgivere er eksperter i cybersikkerhed, og vores erfaring bygger blandt andet på mange års arbejde med it-sikkerhed i private virksomheder og for de største statslige it-kunder, som blandt andet Forsvaret, Rigspolitiet og Digitaliseringsstyrelsen.

Vi hjælper virksomheder med at identificere deres behov inden for informations- og cybersikkerhed og bistår med at tilrettelægge og gennemføre sikkerhedsprojekter, der beskytter både forretningen og dens data.

STYRK JERES CYBERSIKKERHED OG RESILIENS MED SPECIALISERET JURIDISK RÅDGIVNING

Cybersikkerhed er blevet en uundgåelig del af moderne forretningsstrategier. Med den stigende fare for cyberangreb, der kan lamme essentielle sektorer, er det afgørende for virksomheder at implementere robuste sikkerhedsforanstaltninger for at beskytte deres netværk og data. Effektiv cybersikkerhed kræver en kombination af avancerede teknologier, kontinuert overvågning og grundig træning af medarbejdere, så de kan genkende og reagere på potentielle trusler i tide.

Vores rådgivning omfatter risikovurderinger baseret på internationale standarder som ISO27005, ISO29134 og SANS CIS Risk Assessment Method, så virksomheder får en struktureret tilgang til trusselsbilledet. Vi sikrer også, at sikkerhedskrav i kontrakter lever op til anerkendte rammeværk som ISO27001 og SANS CIS Critical Security Controls, ligesom vi forhandler med leverandører for at sikre optimale vilkår.

Overholdelse af lovgivning er en central del af vores arbejde, og vi rådgiver om NIS2, compliance samt DORA og CER – altid med afsæt i vores gennemprøvede koncepter.

Skulle der opstå tvister relateret til cybersikkerhed, bistår vi med juridisk håndtering og konfliktløsning. Vi rådgiver desuden om cybersikkerhed i offentlige udbudsprocesser og bistår virksomheder i tilfælde af sikkerhedsbrud eller cyberangreb, herunder incident response og krisestyring.

Med en kombination af juridisk ekspertise og dyb teknisk indsigt i cybersikkerhed hjælper vi vores klienter med at navigere i et komplekst trusselslandskab og sikre en stærk digital forsvarslinje.

RISIKOVURDERINGSVÆRKTØJ TIL DATASIKKERHED I VIRKSOMHEDER

Poul Schmith/Kammeradvokatens risikovurderingsværktøj til brug for risikovurderinger i relation til databeskyttelsesforordningen (GDPR), cybersikkerhed og NIS2.

Læs mere

Hvad er Nis2?

NIS2 handler om sikring af net- og informationssystemer – altså både hardware, software og tjenester, som gør det muligt at behandle og udveksle data digitalt. Disse systemer udgør rygraden i enhver organisation, der arbejder digitalt.

Hvad kommer NIS2-direktivet til at betyde for jeres organisation?

NIS2 repræsenterer en milepæl i EU's bestræbelser på at opretholde og styrke IT-sikkerheden på tværs af medlemsstaterne. Direktivet er EU's opdaterede lovgivning om cybersikkerhed, der blev effektueret i 2023 som en fortsættelse af det oprindelige NIS-direktiv fra 2016.

Opdateringerne har været nødvendige på grund af de hurtigt skiftende digitale trusler i og imod Europa, og i den forbindelse er NIS2-direktivet en central del af strategien for at øge beskyttelsen imod sådanne trusler. Direktivet sigter mod at styrke EU's samlede cybersikkerhed ved at fastsætte strengere standarder for sektorer, der er afgørende for samfundet, f.eks. energi, sundhed, transport og finans.

For at opnå dette kræver NIS2, at medlemsstaterne etablerer relevante IT-response teams for cybersikkerhed. Derudover er virksomheder inden for de kritiske sektorer forpligtet til at implementere øgede sikkerhedsforanstaltninger og rapportere om alvorlige cybersikkerhedshændelser. Direktivet fremhæver behovet for en harmoniseret tilgang til cybersikkerhed for at beskytte EU-borgere og EU’s økonomiske interesser i en fortsat mere digitaliseret verden.

Hvem er omfattet af NIS2?

EU ønsker med NIS2-direktivet at beskytte IT sikkerheden og infrastrukturen inden for EU mod cybertrusler og cyberkriminalitet hos de væsentlige og vigtige enheder, som leverer samfundskritiske ydelser på tværs af offentlige og private virksomheder/organisationer. 

Kapitalselskaber er omfattet af NIS2-direktivet, hvis de har over 50 ansatte, en årlig omsætning og/eller balance på over 10 mio. euro og opererer inden for bestemte sektorer.

Offentlige myndigheder er omfattet uanset størrelse, hvis der er tale om en statslig myndighed.

Bliv klogere på, hvilke sektorer der er omfattet af NIS2 i oversigten herunder. 

Hvilke krav stiller NIS2 til virksomheder?

Mange organisationer lader i dag ansvaret for deres IT-sikkerhed bo i IT-afdelingen. Topledelsen kan i teorien leve op til deres ansvar ved at ansætte en IT-chef eller en sikkerhedschef på posten.

NIS-direktivet placerer sikkerhedsansvaret hos tjenesteudbyderen, mens NIS2 skærper dette ved at gøre ledelsen direkte ansvarlig for IT-sikkerheden. Ledelsen skal godkende og overvåge tiltag for cybersikkerhed, og ledelsesmedlemmer forventes at opdatere deres viden gennem relevante kurser.

Specifikke uddannelsesretningslinjer er endnu ikke fastlagt.

Uagtet om der er tale om en kapitalvirksomhed eller en offentlig myndighed, har ledelsen ansvar for:

  • At godkende foranstaltninger til styring af cybersikkerhedsrisici
  • At føre tilsyn med gennemførelsen
  • At følge kurser, så ledelsen opnår tilstrækkelige kundskaber og færdigheder vedr. cybersikkerhedsrisici
  • At sikre implementering af nødvendige initiativer for NIS2-compliance

I kapitalselskaber kan ledelsen holdes ansvarlig for pligtforsømmelser, jf. selskabsloven og sektorspecifik regulering, overtrædelser, jf. NIS2-reglerne (administrativt og evt. civil- og strafferetligt alt efter implementeringslovgivningen), og kan på baggrund heraf forbydes at udøve ledelsesfunktioner i selskabet, jf. NIS2-reglerne.

Hos offentlige myndigheder kan ledelsen ligeledes holdes ansvarlig for overtrædelser, jf. NIS2-reglerne. Derudover kan de holdes ansvarlige for pligtforsømmelser, jf. straffelovens § 155, 156 og 157 samt tjenestemandsloven, iht. overenskomst og/eller kontrakter.

Medlemmer af Folketinget, regionsråd og kommunalbestyrelser er dog undtaget, da ministeransvarsloven, kommunestyrelsesloven og regionsloven i stedet gør sig gældende på dette område.

Skærpede NIS2-krav til tilsyn

Med NIS2-direktivet stilles der flere krav til IT-sikkerheden generelt. Der forventes større ledelsesmæssig forankring og tilsyn, bedre risikostyring og stærkere sikkerhedsforanstaltninger. Ved tilsyn skal I blandt andet kunne dokumentere, at der løbende bliver gennemført risikovurderinger, og at I har implementeret tilstrækkelig sikkerhed i forhold til risiko, trusler og sårbarheder på området for IT-sikkerhed. Håndhævelse, sanktioner og underretningspligt kommer også i spil.

Hvad sker der, hvis virksomheder ikke opfylder NIS2-direktivet?

Organisationer risikerer bøder på indtil 2% af deres årlige omsætning. Yderligere sanktioner kan omfatte advarsler, krav, forbud, offentliggørelse af forseelser eller udnævnelse af en tilsynsansvarlig i virksomheden.

Hvordan disse foranstaltninger nøjagtigt skal håndhæves afhænger af, hvordan nationale love tilpasser sig NIS2-direktivet.

Sådan forbereder man sig bedst til NIS2

Det bliver en tidskrævende og ressourcetung proces at implementere NIS2-kravene fyldestgørende i jeres virksomhed. Det er en opgave, som kommer til at gå på tværs af jeres ledelse, sikkerhed, IT og jura, og der vil formentlig blive stillet krav fra jeres kunder om, at I har taget tilstrækkeligt initiativ i god tid. Derfor er vores anbefaling, at jo før I kommer i gang med at sikre NIS2-compliance, jo bedre. 

Vores hold af eksperter er allerede i fuld gang med NIS2-projekter hos flere kunder fra en lang række af de berørte sektorer. Vi kan f.eks. starte med at lave en gap-analyse i forhold til NIS2-kravene for jeres virksomhed og derefter bidrage med en passende implementeringsplan for øget cybersikkerhed.

ENDNU EN GANG ER DET DIG, DER SIDDER MED ABEN

Med de nye cyberregler er det fremover ledelsen – og ikke IT-chefen – som skal stå til ansvar for, at virksomhedens cybersikkerhed følger loven. Men du behøver ikke klare det selv. Du kan sende aben videre til vores hold af topkvalificerede eksperter i cybersikkerhed.

Læs mere

DORA SKÆRPER KRAV TIL CYBERSIKKERHED OG TIL LEDELSENS ANSVAR

DORA-forordningen stiller skarpe krav til cybersikkerheden i finanssektoren og gør topledelsen direkte ansvarlig for, at reglerne overholdes i overensstemmelse med de retningslinjer, der er indført under NIS2. Direktion og bestyrelse skal sikre korrekt IKT-risikostyring, besidde relevant viden og følge kurser for at forstå og håndtere risici.

Manglende overholdelse kan medføre pligtforsømmelser, påbud, økonomiske sanktioner og offentliggørelse af ledelsens overtrædelser.

Vi kan hjælpe med juridisk rådgivning, sikring af NIS2-compliance og tilpasning af interne politikker og kontrakter inden for cybersikkerhed, så din virksomhed undgår ansvarspådragelse og opfylder kravene. 

Hvad kan ledelsen holdes ansvarlig for, hvis kravene i DORA ikke overholdes?

Overtrædelser, jf. DORA:

  • Pligtforsømmelser, jf. selskabsloven og lov om finansiel virksomhed.

Tilsynet kan få flere beføjelser, men skal som minimum have disse: 

  • Påbud om at ophøre adfærd og afholde sig fra at gentage den.
  • Midlertidigt eller permanent forbud mod praksis eller adfærd.
  • Enhver foranstaltning, herunder af økonomisk karakter, til at sikre, at selskabet overholder sine forpligtelser.
  • Udsendelse af offentlige meddelelser, herunder offentlige erklæringer, der angiver ledelsens identitet og karakteren af deres overtrædelser.

MØD VORES SPECIALISTER I CYBERSIKKERHED OG RESILIENS

Har du brug for certificerede specialister, der både har stærke juridiske kompetencer og praktisk forståelse af cybersikkerhed, er du velkommen til at kontakte vores team af specialister og advokater. Cybersikkerhed er afgørende for jeres succes som organisation, og der er ofte en god business case i at have styr på sikkerheden.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.