NIS2-direktivet: Nye regler om cybersikkerhed er på vej
Baggrund for NIS2-direktivet
EU har over de senere år haft fokus på den digitale udvikling og det medfølgende behov for data-, informations- og cybersikkerhed. Det har medført databeskyttelsesreglerne (GDPR) samt NIS-direktivet (forgængeren til NIS2-direktivet), og nu indføres NIS2-direktivet. Det nye IT-sikkerhedsdirektiv har været længe undervejs, men er nu vedtaget af Europa-Parlamentet.
Det nuværende NIS-direktiv (Network and Information Systems) trådte i kraft tilbage i 2016 og er en fælles lovgivning, der i sin tid blev indført for at øge cybersikkerheden i de samfundskritiske sektorer. Stigende trusler for cyberkriminalitet har sidenhen medført behov for ændringer, hvilket har ført til NIS2-direktivet.
I NIS-direktivet har det været medlemslandene, der hver især har skullet definere, hvilke sektorer der var omfattet. I NIS2-direktivet bliver det nu udvidet, hvilke sektorer og organisationer der omfattes. Mange virksomheder er derfor nye i denne forstand og ved derfor ikke, at de omfattes af skærpede krav.
Krav til IT-sikkerhed skærpes
Med NIS2 direktivet stilles der endnu flere krav til IT-sikkerheden. Af de væsentligste kan nævnes:
- Ledelsesmæssig forankring og tilsyn
- Risikostyring
- Sikkerhedsforanstaltninger
- Håndhævelse og sanktioner
- Underretningspligt
Generelt handler det om at forebygge og minimere cyberkriminalitet. Man vil gerne undgå, at kritisk infrastruktur rammes af cyberkriminalitet og i takt med, at flere sektorer gør øget brug af digital infrastruktur, finder man det nødvendigt nu at lovgive endnu mere på området.
Ledelsen får direkte ansvar - manglende overholdelse kan medføre bøder og andre sanktioner
Bødeniveauet for manglende overholdelse af NIS2-direktivet er særligt værd at bemærke. Virksomheder, der ikke overholder direktivet, kan risikere bøder på op mod 75 mio. kr. eller 2 % af virksomhedens omsætning – alt efter hvad der er højest.
Derudover kan manglende overholdelse have personlige konsekvenser for de ansvarlige ledere. Ledelsen får dermed et direkte ansvar. Ledelsen får blandt andet pligt til at deltage i kurser om cybersikkerhed, så ledelsen har tilstrækkelig viden til at træffe beslutninger. Det vil derfor ikke længere være muligt for ledelsen at outsource beslutninger om sikkerhed til andre medarbejdere.
Iagttager du som leder ikke NIS2-direktivets krav, vil myndighederne tilmed kunne forbyde dig at have en ledelsesfunktion, indtil sikkerheden er bragt i orden. Vi har endnu til gode at se, om dette bliver indført i Danmark.
Andre sanktioner kan blandt andet være tvungne revisioner.
Hvem er omfattet af NIS2?
Hidtil har omkring 130 danske virksomheder været omfattet af NIS-direktivet. Med NIS2-direktivet udvides omfanget af sektorer. Kommissionen ønsker nu, at reglerne skal dække alle organisationer, der varetager vigtige funktioner i samfundet. IT-Branchen og Danmarks Statistik har vurderet, at man forventer, at omkring 1.400 danske virksomheder vil blive omfattet af NIS2-direktivet.
NIS2 deler virksomheder (både private og offentlige) op i ”væsentlige enheder” og ”vigtige enheder”.
De ”væsentlige enheder” omfatter enheder inden for følgende sektorer:
- Energisektoren (el, fjernvarme, olie, gas og brint)
- Transport (luft, jernbane, vand og vejtransport)
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Sundhedssektoren (f.eks. visse sundhedstjenesteydere samt fremstilling af læge-midler)
- Drikkevand
- Spildevand
- Digital infrastruktur (f.eks. DNS-tjenesteudbydere og cloud udbydere)
- Offentlig forvaltning (endnu ikke afgjort om kommuner er omfattet)
- Rummet
De “vigtige enheder” omfatter enheder inden for følgende sektorer:
- Post- og kurertjenester
- Affaldshåndtering
- Fremstilling, produktion og distribution af kemikalier
- Fremstilling, bearbejdning og distribution af fødevarer
- Fremstilling af f.eks. medicinsk udstyr, computere, elektronik, maskiner og motorkøretøjer
- Digitale udbydere (onlinemarkedspladser- og søgemaskiner samt sociale netværk)
Virksomheder, der har under 50 ansatte og en årlig omsætning eller samlet årlig balance på under 10 mio. EUR, er som udgangspunkt undtaget. Der er dog nogle situationer, hvor disse virksomheder alligevel er omfattet, bl.a. hvis virksomheden er den eneste tjenesteyder i landet eller er vurderet som en kritisk enhed.
Så selvom din organisation f.eks. har 40 ansatte og/eller ikke opererer inden for ovennævnte områder, vil de nye regler kunne påvirke din organisation, hvis I leverer ydelser til en virksomhed, som direkte omfattes af reglerne.
Medlemslandene kan desuden beslutte, at enheder inden for national sikkerhed, forsvar og retshåndhævelse er undtaget.
Øget tilsyn
De kompetente nationale myndigheder skal føre tilsyn med, om direktivet efterleves. Tilsynet skærpes i forhold til NIS-direktivet. Med NIS2-direktivet skal der både være proaktivt tilsyn med væsentlige enheder og opfølgende tilsyn med vigtige enheder.
Er din virksomhed omfattet?
Selvom NIS2-direktivet endnu ikke er trådt i kraft, vil vi anbefale, at du allerede nu kortlægger omfanget af NIS2-direktivet i din virksomhed. På den måde har du et overblik over den kommende proces.
Har du spørgsmål eller brug for rådgivning?
Har du spørgsmål til NIS2-direktivet eller brug for rådgivning om, hvorvidt din virksomhed er omfattet af NIS2-direktivet, så er du altid velkommen til at kontakte vores specialister.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.