NIS2 Direktivet fokuserer på at forbedre sikkerheden i netværks- og informationssystemer i hele Europa og indeholder krav til virksomhederne om at gennemføre passende tekniske foranstaltninger og aktiviteter til at forebygge, opdage og reagere på cybersikkerhedshændelser.

Disse hændelser skal også indberettes til kompetente nationale myndigheder. Derfor fastsætter tilsynsmyndighederne hermed nogle ensartede regler for virksomhederne for at sikre, at de retsligt håndhævende og udformende myndigheder kan arbejde effektivt og øge EU-borgernes bevidsthed om cybersikkerhed. 

Direktivet gælder for både den offentlige og private sektor og gælder for alle organisationer, der leverer samfundskritiske tjenester såsom sundhedspleje, energi, transport, vand, digital infrastruktur, finans og bankvirksomhed.

I forhold til det oprindelige NIS Direktiv er formålet med NIS2 Direktivet at udvide kravene til og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene - og med strengere krav til flere sektorer.

Direktivet finder overordnet anvendelse på to kategorier, "Væsentlige enheder” (Essential Entities, EE) og "Vigtige enheder” (Important Entities, IE).

Følgende er klassificeret som ”Væsentlige enheder” (Essential Entities, EE):

• Energi (elektricitet, fjernvarme, olie, gas og brint)
• Transport (luft, jernbane, vand og vej)
• Bankvirksomhed (kreditinstitutter)
• Finansielle markedsinfrastrukturer (markedspladser)
• Sundhedssektoren (sundhedsudbydere og producenter af lægemidler osv.)
• Drikkevand og spildevand
• Digital infrastruktur (herunder udbydere af cloudtjenester, datacentre, domænenavnesystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnetværk)
• Udbydere af informations- og kommunikationstjenester (IKT-tjenester)
• Udbydere af administrerede tjenester og administrerede sikkerhedstjenester
• Offentlig forvaltning
• Rummet (Space)

De »vigtige enheder« (Important Entities, IE) omfatter offentlige og private enheder inden for:

• Post- og kurertjenester
• Affaldshåndtering
• Fremstilling, produktion og distribution af kemikalier
• Fremstilling, forarbejdning og distribution af fødevarer
• Produktion af bl.a. elektronik, maskiner og motorkøretøjer
• Udbydere af visse digitale tjenester (onlinemarkedspladser og søgemaskiner og sociale netværkstjenester)
• Forskning (højere læreanstalter og forskningsinstitutioner).

Men hvis man er en virksomhed/organisation, der leverer en tjeneste, der er afgørende for opretholdelsen af kritisk samfundsmæssig og/eller økonomisk aktivitet, kan man også klassificeres som en "operatør af væsentlige tjenester", og dermed være underlagt kravene i NIS2 Direktivet.

Få meget mere at vide om, hvem der er omfattet af NIS2 her.

Manglende overholdelse af NIS2 Direktivet kan få alvorlige økonomiske konsekvenser for virksomhederne og retslige konsekvenser for topledelsen. EU har indført store bøder for manglende overholdelse med en maksimumsstraf på op til 10 mio. EUR eller 2 % af den samlede globale årlige omsætning, alt efter hvad der er størst.

Derudover er der også lagt op til mulighederne for at holde topledelsen ansvarlig for manglende efterlevelse af retningslinjer og krav i NIS2 Direktivet.

Som udgangspunkt skal man være en væsentlig eller vigtig enhed, samt mellemstor virksomhed for at være omfattet af NIS2. Bemærk dog, at en organisation godt kan blive omfattet selvom den ikke fuldt ud opfylder grænserne for medarbejderantal, omsætning eller balance, hvis organisationen anses for kritisk eller vigtig for Danmark på grund af årsager som:

• En potentiel afbrydelse af den tjeneste, der leveres af enheden, kan have indvirkning på den offentlige sikkerhed eller folkesundheden.
• Enheden er kritisk på grund af dens særlige betydning på regionalt eller nationalt plan for den pågældende sektor eller type tjeneste eller for andre indbyrdes afhængige sektorer i medlemslandet osv.

Det kan derfor ikke endegyldigt udelukkes, at man bliver omfattet til trods for, at man ikke er en mellemstor eller stor virksomhed.

NIS2 kræver en styrkelse af sikkerhedskravene ved at indføre en risikostyringstilgang med en liste over målrettede foranstaltninger, herunder reaktion på hændelser og krisestyring, håndtering og offentliggørelse af sårbarheder, cybersikkerhedstest og effektiv anvendelse af kryptering.

Bortset fra en betydelig udvidelse af omfanget af virksomheder, der skal overholde NIS2, medfører det nye direktiv også meget strengere bøder og har detaljerede strengere regler og håndhævelsesforanstaltninger, som tilsynsmyndighederne skal sikre, at virksomhederne overholder.

NIS2 Direktivet fokuserer også på ledelsesansvar og omfatter muligheden for specifikke sanktioner, herunder bøder.

NIS2 Direktivet bliver fremsat til debat i februar 2025 og træder i kraft den 1. juli 2025 som et nationalt lovkrav. Virksomheder, der er omfattet NIS2, skal have registreret sig hos den relevante kompetente myndighed senest d. 1. Oktober 2025. Som hovedregel bliver det virksomhedernes eget ansvar at vurdere, om de er omfattet.