Fredag den 13. maj indgik Europa-Parlamentet en politisk aftale om nye regler for cyber- og informations-sikkerhed – det såkaldte NIS2-direktiv. Formålet med NIS2 er at sikre et højt, fælles sikkerhedsniveau på tværs af den kommunikations-infrastruktur og de it-systemer og services, som samfundet er afhængige af. Direktivet er en opfølgning på Net- og informationssikkerhedsdirektivet – bedre kendt som NIS, der trådte i kraft i 2018.

Implementering af nye regler forventes medio 2024

Den endelige lovtekst forventes at blive vedtaget til efteråret 2022. Derefter har Danmark – ligesom de andre medlemsstater, 21 måneder til at indarbejde bestemmelserne i den nationale lovgivning. Det betyder, at danske virksomheder skal forvente at skulle leve op til de nye krav medio 2024.

Det vil også sige, at frem mod 2024 handler det nu om den nationale implementering af NIS2. DI Digital er i dialog med de relevante myndigheder med henblik på at opnå den bedste mulige nationale implementering af direktivet. Der er f.eks. behov for at afklare mere præcist, hvilke NIS-regler forskellige typer af virksomheder er omfattet af, og ikke mindst, hvem der kommer til at føre tilsyn og hvordan.

Det ved vi nu om kravene, som danske virksomheder skal leve op til i 2024

Flere omfattes

Beslutningen kommer til at få betydning for en række sektorer, der ikke har været omfattet af forgængeren, NIS1. Nu skal fødevaresektoren, spildevandssektoren, affaldssektoren, rumsektoren og delsektorer i fremstillingsindustrien (som producerer fx lægemidler, medicinsk udstyr, kemikalier) til at overholde de nye krav. Sektorer som allerede er omfattet af NIS1 inkluderer operatører af væsentlige tjenester, herunder energi, transport, finans, sundhed og drikkevand. Hertil kommer digitale tjenestudbydere og digital infrastruktur, herunder cloud computing-tjenester, online markedspladser samt søgemaskiner.

Direktivet lægger op til, at det er virksomheder med flere end 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro, der skal efterleve kravene. 

Skærpede krav til topledelsen

Med de nye regler stilles der skærpede krav til topledelsen, som får ansvar for at godkende sikkerhedsforanstaltningerne og for at føre tilsyn med virksomhedens it-sikkerhed - så sikkerhedsniveauet matcher aktuelle risikovurderinger.

Nye minimumskrav

I forhold til NIS1 skal NIS2 sikre yderligere harmonisering på tværs af medlemsstater gennem mere detaljeret regulering og ved at indføre syv minimumskrav til:

• politikker for risikoanalyse og informationssystemsikkerhed
• håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
• driftskontinuitet og krisestyring
• sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
• politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
• brug af kryptografi og kryptering
• forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester.

Derudover stiller loven krav til, at virksomheder i løbet af 24-72 timer skal underrette myndighederne om eventuelle IT-sikkerhedshændelser.

Væsentlige bøder for overtrædelse

Der er lagt op til mulighed for at give store bøder for overtrædelse af NIS2. Direktivet skelner mellem vigtige og væsentlige virksomheder. Vigtige virksomheder kan risikere at skulle betale op til to mio. euro eller én procent af den globale omsætning og væsentlige virksomheder kan potentielt få bøder på op til fire mio. euro eller to procent af den globale omsætning. Kategoriseringen i direktivet sker ud fra type og størrelse.

Følg med i nyhedsbrevet, da vi løbende vil kommunikere om, hvad NIS2-direktivet får af praktiske implikationer for danske virksomheder.