Hvad er NIS2, og hvad betyder det for din DNS?
Af Jens Arnfelt
NIS2-direktivet er den største opdatering af EU's cybersikkerhedsregler i årevis. For mange danske organisationer betyder det, at cybersikkerhed går fra at være "god skik" til at være et lovkrav med ledelsesansvar. Et af de områder, der ofte overses i den forbindelse, er DNS — det system, der oversætter domænenavne til IP-adresser og styrer, hvordan din e-mail og dine tjenester kan findes på internettet.
Denne artikel giver et overblik over, hvad NIS2 er, hvem der er omfattet, og hvorfor din DNS-opsætning bør stå på tjeklisten.
Denne artikel er generel information og ikke juridisk rådgivning. Om din organisation er omfattet af NIS2, og hvilke krav der konkret gælder, bør afklares hos jer selv og eventuelt med en rådgiver.
Hvad er NIS2?
NIS2 (direktiv (EU) 2022/2555) afløser det oprindelige NIS-direktiv fra 2016. Formålet er at hæve cybersikkerhedsniveauet på tværs af EU ved at stille ensartede krav til flere sektorer end tidligere. I Danmark implementeres direktivet i national lovgivning (den kommende cybersikkerhedslov).
I hovedtræk stiller NIS2:
- Krav om risikostyring. Omfattede organisationer skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risici mod deres net- og informationssystemer (artikel 21).
- Krav om hændelsesrapportering. Væsentlige hændelser skal indberettes til myndighederne inden for fastsatte frister.
- Ledelsesansvar. Den øverste ledelse skal godkende og føre tilsyn med sikkerhedsforanstaltningerne og kan holdes ansvarlig.
NIS2 skelner mellem "væsentlige" og "vigtige" enheder og rammer typisk mellemstore og store organisationer i de omfattede sektorer (bl.a. energi, transport, sundhed, digital infrastruktur, offentlig forvaltning og flere). De præcise størrelsesgrænser og sektorafgrænsninger bør I tjekke mod den danske lov.
Hvorfor er DNS relevant for NIS2?
DNS er relevant på to måder:
1. DNS-udbydere er direkte omfattet. NIS2 nævner udtrykkeligt "DNS-tjenesteudbydere" og "topdomæneadministratorer" (TLD-registre) som en del af sektoren digital infrastruktur. Driver din organisation autoritative navneservere eller DNS-tjenester for andre, er I sandsynligvis i scope.
2. For alle andre er DNS en del af risikobilledet. Selvom I ikke er DNS-udbyder, indgår jeres DNS- og e-mailopsætning i den angrebsflade, som artikel 21 forpligter jer til at styre. Et kapret domæne, forfalsket e-mail eller nedbrudt navneservice kan ramme både drift og tillid — og det er præcis den slags risici, risikostyringskravet handler om.
Det er værd at understrege: NIS2 kræver ikke DNSSEC, SPF eller DMARC ved navn. Loven kræver risikobaserede foranstaltninger. Men de nævnte teknologier er blandt de mest effektive og anerkendte måder at reducere DNS- og e-mailrisici på, og de er derfor et naturligt sted at starte.
Konkrete DNS-tiltag
- DNSSEC signerer dine DNS-svar, så de ikke kan forfalskes undervejs. Læs vores gennemgang af DNSSEC.
- SPF, DKIM og DMARC beskytter dit domæne mod at blive misbrugt til phishing og spoofing.
- Overvågning af ændringer i dine DNS-records, så uautoriserede ændringer opdages hurtigt.
- Redundans — mere end én navneserver og gerne mere end én udbyder, så en enkelt fejl ikke tager jer offline.
- Adgangsstyring til jeres DNS-administration, så I ved, hvem der kan ændre hvad.
Kom godt i gang
Du kan komme et langt stykke med et par gratis tjek:
- DNS-sikkerhedstjek — se, om dit domæne har DNSSEC og en sund navneserveropsætning.
- DMARC-analysator — tjek din e-mailbeskyttelse mod spoofing.
NIS2 handler ikke om at købe ét bestemt produkt, men om at kunne dokumentere, at I har styr på jeres risici. En ryddelig, signeret og overvåget DNS er en konkret og synlig del af det arbejde.