For at styrke it-sikkerheden i staten er der blevet fastsat nye tekniske minimumskrav, som statslige myndigheder skal overholde senest den 1. juli 2024.

Formålet med de tekniske minimumskrav er at sikre et højt it-sikkerhedsniveau på tværs af staten, hvor kravene skal tilpasses den teknologiske udvikling og trusselsbilledet mod statslige myndigheder.

De nye krav har flere formål, herunder at mindske risikoen for, at statslige medarbejdere udsættes for falske e-mails og hjemmesider. Derudover sigter kravene også mod at reducere risikoen for brugerkompromittering samt give myndighederne større kendskab til deres egne angrebsflader og bedre forudsætninger for at efterforske sikkerhedshændelser, hvis de alligevel skulle opstå. Det indebærer foranstaltninger som at undgå brug af tidligere lækkede passwords og opbevaring af logdata for bestemte it-systemer og tjenester i minimum 12 måneder.

Implementeringen af de nye krav skal være afsluttet senest den 1. juli 2024 for alle statslige myndigheder. Digitaliseringsstyrelsen vil fortsat følge op på myndighedernes efterlevelse af kravene, og den første opfølgning forventes at finde sted i 2. halvår af 2024. Resultaterne vil blive fremlagt for regeringen og offentliggjort i en rapport på hjemmesiden.

De nye krav er blevet indført som en del af implementeringen af den nationale strategi for cyber- og informationssikkerhed 2022-2024. De er blevet udarbejdet af Digitaliseringsstyrelsen i tæt samarbejde med Center for Cybersikkerhed, Statens It og PET.

Styrke it-sikkerheden hos de statslige myndigheder

De tekniske minimumskrav, som har til formål at styrke it-sikkerheden hos de statslige myndigheder, er blevet opdateret. Disse 20 krav har siden 2020 været obligatoriske for at sikre et højt niveau af cyber- og informationssikkerhed hos alle statslige myndigheder. Formålet med disse krav er at beskytte mod ondsindede cyber- og informationssikkerhedshændelser, såsom hackerangreb og spredning af malware.

Opdateringen af de 20 tekniske minimumskrav er en del af den nationale strategi for cyber- og informationssikkerhed for perioden 2022-2024. Arbejdet med at opdatere kravene blev udført af en arbejdsgruppe bestående af Digitaliseringsstyrelsen, Center for Cybersikkerhed, Statens It og Politiets Efterretningstjeneste, baseret på tidligere erfaringer og feedback fra myndigheder og samarbejdspartnere.

Med opdateringen er der indført et nyt krav om implementering af en MDM-løsning (Mobile Device Management) for mobile enheder. Dette sikrer, at arbejdsrelaterede data kan beskyttes med særlige sikkerhedstiltag. På hjemmesiden sikkerdigital.dk findes en samlet oversigt over de opdaterede krav samt en beskrivelse af de væsentligste ændringer.

I forbindelse med opdateringen har der været særlig fokus på at præcisere kravene og tydeliggøre, hvordan de skal efterleves. Målet er at gøre kravene mere forståelige og dermed nemmere for myndighederne at implementere, hvilket i sidste ende vil forbedre it-sikkerheden på tværs af statslige myndigheder.

Ny lovgivning skærper kravene inden for it-sikkerhed

I fremtiden vil visse virksomheder og offentlige myndigheder inden for udvalgte sektorer blive underlagt strengere regler på området for it-sikkerhed.

EU-Parlamentet godkendte i maj 2022 et direktiv ved navn NIS2, der har til formål at sikre, at medlemslandene inden februar 2024 har implementeret den nye lovgivning.

NIS2 er designet til at hæve niveauet for informations- og cybersikkerhed i virksomheder inden for sektorer som energi, forsyning, sundhed, finans og it. Virksomheder i disse sektorer skal blandt andet opnå et grundlæggende niveau af it-sikkerhed.

NIS2 er en opgradering af det tidligere NIS-direktiv (Net- og informationssikkerhed), og denne version omfatter en udvidelse både af dækningsområdet for brancher og sektorer. Et centralt element er, at sikkerhedsniveauet skal kunne dokumenteres, og det er også afgørende, at kravene gælder for hele forsyningskæden, hvilket inkluderer underleverandører og samarbejdspartnere. Hvis en virksomhed leverer til en NIS2-kompatibel virksomhed, er det derfor sandsynligt, at leverandøren også skal være dokumenteret NIS2-kompatibel.

Lovgivningen vil kræve, at virksomhederne håndterer it-sikkerhedsforhold, der på mange måder relaterer sig til ISO 27002-kontroller, som er kendte for dem, der allerede har en ISAE 3402- eller 3000-erklæring.

For eksempel skal virksomhederne tage stilling til og implementere foranstaltninger inden for områder som risikostyring, sikkerhedspolitik, hændelsesstyring, leverandørstyring, kryptografi, HR og beredskab. Disse aspekter ligner forhold, som allerede er kendt fra ISO 27002 og GDPR.

Det er afgørende, at virksomheder, der er direkte eller indirekte relateret til de berørte brancher, forbereder sig på den kommende lovgivning. Selv før vi ser regler, vejledninger og beskrivelser fra Folketinget og diverse offentlige myndigheder, bør virksomhederne forberede sig ved at arbejde med ISO-standarden.

I modsætning til GDPR forventes organisationer, der er underlagt NIS2, at søge godkendelse og vil være underlagt tilsyn af Erhvervsstyrelsen.

Direktivet skal implementeres i dansk lovgivning, og arbejdet er allerede i gang. Dette kan minde om processen i 2016, hvor databeskyttelseslovgivningen (GDPR) blev vedtaget til implementering i 2018, men vejledninger og instrukser først kom meget sent. Det forventes dog, at der vil blive uddelt bøder ved manglende efterlevelse af NIS2, ligesom det var tilfældet med GDPR.