Generelt om NIS2 direktivet
Her kan du læse mere om det nye NIS2-direktiv, herunder om baggrunden for de nye regler og hvad det betyder for din virksomhed.
Hvad er NIS2 og hvorfor skal vi overhovedet have regler om sikkerhed?
Europa-Parlamentet har vedtaget det såkaldte direktiv om netværks- og informationssikkerhed (NIS2). NIS2-direktivet er en opfølgning på NIS-direktivet fra 2016, der havde til formål at øge cybersikkerheden for en række udpegede kritiske sektorer på tværs af EU, det vil sige sektorer der i et samfundsmæssigt perspektiv udfører væsentlige (kritiske) aktiviteter.
Baggrunden for begge direktiver er bl.a. den støt stigende samfundsmæssige afhængighed af digitale systemer og netværk. Samtidig udsættes vi som samfund for en stadigt flere og mere avancerede cybertrusler fra f.eks. hackere. Derfor er der behov for, at vi som samfund styrker vores cyberforsvar og den digitale robusthed, dvs. evnen til at stå imod angreb og andre tilsigtede hændelser. Denne styrkelse på tværs af EU skal bl.a. ske gennem initiativer hos myndigheder, men også i de enkelte virksomheder, og det er netop dette som er i fokus i de to direktiver.
Fra NIS til NIS2
Det oprindelige NIS-direktiv bestod af tre dele:
- En styrkelse af sikkerheden: I en dansk kontekst betød det bl.a., at de omfattede virksomheder skulle certificeres efter en internationalt anerkendt standard for styring af sikkerheden i net- og informationssystemer, f.eks. ISO27001-standarden.
- Tværnationalt samarbejde: EU-landene skulle dele viden om trusler og arbejde sammen på cybersikkerhedsområdet.
- Nationalt tilsyn: Nationale myndigheder skulle overvåge cybersikkerheden for kritiske virksomheder.
Med NIS2 ønsker man i endnu højere grad at styrke cybersikkerheden på tværs af EU-landene og på tværs af sektorer. Denne styrkelse ses særligt på tre områder:
- Udvidet anvendelsesområde: Flere sektorer og flere aktører fra de enkelte sektorer er omfattet af de nye regler.
- Udvidet myndighedstilsyn: Eksempelvis skal de kompetente nationale myndigheder (tilsynsmyndighederne) føre et proaktivt tilsyn med de såkaldte væsentlige enheder
- Udvidede sanktionsmuligheder: Med NIS2 skærpes sanktionsmulighederne, idet tilsynsmyndigheder kan pålægge administrative bøder, hvis virksomhederne ikke lever op til kravene om passende foranstaltninger eller rapporteringsforpligtelser.
Hvem er omfattet af de nye NIS2-regler?
Anvendelsesområdet for NIS2 er som nævnt blevet udvidet betydeligt, og det betyder bl.a., at man som virksomhed kan være reguleret, hvis man udfører aktiviteter inden for en eller flere af følgende sektorer:
- Spildevandshåndtering
- Offentlig forvaltning
- Digital infrastruktur såsom udbydere af datacentertjenester
- Udbydere af indholdsleveringstjenester
- Tiltroede tjenesteudbydere
- Offentlige elektroniske kommunikationsnet
- Udbydere af elektroniske kommunikationstjenester
Desuden omfatter NIS2 også tjenester, der knytter sig til aktiviteter, der udføres i rummet, f.eks. udvikling, produktion og drift af satellitter samt post- og kurertjenester, affaldshåndtering, fremstilling, produktion og distribution af kemikalier, fødevareproduktion, -forarbejdning og distribution tillige med fremstilling af medicinsk, elektronisk og elektrisk udstyr, maskiner, motorkøretøjer, transportudstyr samt platforme for sociale netværkstjenester.
Du kan læse mere om hvem, der er omfattet af reglerne her [link 2. hvem er omfattet]
Hvad betyder de nye regler for min virksomhed?
Hvis man som virksomhed er omfattet af de nye regler, skal man – som det er formuleret i NIS2-direktivet – træffes ”passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer”.
Det betyder med andre ord, at man skal implementere sikkerhedsforanstaltninger på basis af en risikobaseret tilgang. Hvorvidt en sikkerhedsforanstaltning er passende i direktivets forstand, skal afgøres ud fra en vurdering af risikoen for, at en trussel aktualiseres og konsekvenserne heraf. Jo større risiko, desto højere sikkerhed.
Du kan læse mere om en risikostyring og en risikobaseret tilgang til sikkerhed her [link til 3. compliance]
Ud over at kunne håndtere risikostyring fastsætter direktivet også krav til en række obligatoriske foranstaltninger om bl.a.:
- Risikoanalyse og informationssystemsikkerhed
- Håndtering af hændelser
- Driftskontinuitet (f.eks. backup, reetablering, og krisestyring)
- Forsyningskædesikkerhed (styring af f.eks. underleverandører)
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
- Løbende vurdering af sikkerhedsforanstaltninger
- Uddannelse af medarbejdere mv.
- Kryptering
- Personalesikkerhed og adgangskontrol
Endelig indføres der som et væsentligt element i NIS2 en særlig indberetningspligt, hvorefter man som virksomhed hurtigst muligt og inden for 24 timer (tidlige varsling) skal underrette den kompetente myndighed om såkaldte væsentlige hændelser. Dette skal følges op med en uddybende opdatering og vurdering af hændelsen inden for 72 timer. En hændelse anses f.eks. for at være væsentlig, hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed (virksomhed).
Hvornår træder reglerne i kraft?
Reglerne i et direktiv gælder normalt ikke uden videre. Indholdet i NIS2-direktivet skal derfor først implementeres i dansk ret, før det forpligter danske virksomheder. Herunder kan du se den overordnede tidslinje for implementeringen af NIS2-direktivet i de enkelte EU-medlemslande:
Selve NIS2-direktivet blev vedtaget og publiceret den 27. december 2022, hvorefter de enkelte medlemslande har godt 21 måneder til at implementere det i den nationale lovgivning. Inden for tre måneder skal medlemslandene have deklareret deres nationale strategi for implementering af direktivet <OBS: opdateres hvis dette bliver offentliggjort inden lancering!>, og det påhviler dem tillige at udarbejde en oversigt over, hvilke virksomheder mv., der er vil være omfattet af de nye regler. De pågældende enheder registreres i et centralt EU-register, der løbende holdes opdateret.
Senest i oktober 2024 skal medlemslandene – dvs. også Danmark – have vedtaget og offentliggjort de foranstaltninger og regler, der er nødvendige for, at det enkelte medlemsland kan siges at leve op til NIS2-direktivet.
Umiddelbart herefter træder de tilknyttede krav til omfattede virksomheder i kraft, hvilket også omfatter sanktioner. Det kan f.eks. være i form af f.eks. bøder
Hvad betyder reglerne for mig, og hvordan kommer jeg i gang?
Som nævnt ovenfor er der endnu ikke implementeret bindende danske regler endnu, og derfor er man som virksomhed endnu ikke forpligtet til at overholde kravene fra direktivet. Erfaringsmæssigt kan det dog være en relativt tidskrævende og til tider ressourcetung proces at implementere alle disse krav – i hvert fald hvis man slet ikke har arbejdet systematisk med styring af informationssikkerhed tidligere.
Anbefalingen er derfor, at jo før man kommer i gang, jo bedre.
Et oplagt første skridt vil dog være allerede nu at udarbejde et overblik over alle de aktiver og forretningsprocesser, som understøtter de kritiske områder, der er omfattet af NIS2. Overblikket over disse aktiver og processer kan danne grundlag for risikovurderinger og eventuel implementering af yderligere sikkerhedsforanstaltninger.
Der er således intet til hinder for, at din virksomhed tager hul på en risikobaseret tilgang til sikkerhed, og dermed forbereder sig på kravene i NIS2.
På de følgende sider kan du finde en række vejledninger, tjeklister og skabeloner, som kan understøtte det videre arbejde.