Status på NIS2

Hvad er NIS2?

NIS2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU.

NIS2-direktivet bygger ovenpå og ophæver EU-direktivet om sikkerhed i net- og informationssystemer (NIS1-direktivet).

Formålet med NIS2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.

Med NIS2 indføres en række nye krav til omfattede virksomheder og myndigheder. NIS2 stiller bl.a. krav om gennemførelse af cybersikkerhedsforanstaltninger, hændelsesrapportering samt giver styrkede tilsyns- og håndhævelsesbeføjelser.

Flere myndigheder og virksomheder (kaldet ”enheder”) vil være omfattet, end tilfældet var med det hidtidige NIS-direktiv (NIS1). De sektorer, som er omfattet af NIS2-direktivet, er beskrevet i direktivets bilag 1 (sektorer af særligt kritisk betydning) og bilag 2 (andre kritiske sektorer).

Arbejdet med at implementere NIS2-direktivet er forsinket, og et lovforslag er planlagt fremsat i oktober 2024. Det betyder, at Danmark kommer til at overskride den implementeringsfrist, der i direktiverne er fastsat til den 17. oktober 2024.

Hvordan implementeres NIS2 i dansk ret?

Implementeringen af NIS2-direktivet skal sikre et højt cybersikkerhedsniveau, ensartede og genkendelige krav på tværs af de omfattede sektorer i det omfang, det er muligt, og at direktivets krav konkretiseres nærmere, så virksomheder og myndigheder får de bedste forudsætninger for at vurdere, hvad de skal efterleve.

Der er lagt op til at direktivet minimumsimplementeres i Danmark. Implementeringen sker ved, at Forsvarsministeriet fremsætter en hovedlov, som skaber en fælles grundlæggende ramme for implementeringen af NIS2 på tværs af sektorer. Hovedloven vil bemyndige ressortministerierne (de sektoransvarlige myndigheder) til at konkretisere NIS2-kravene i bekendtgørelser.

Energi-, finans- og telesektorerne vil ikke blive omfattet af NIS2-hovedloven. Implementeringen af NIS2-direktivet vil ske særskilt for hver af disse sektorer.

Forsvarsministeriet er ansvarlig for at koordinere implementeringen af NIS2-direktivet. I praksis vil Center for Cybersikkerhed (CFCS) koordinere arbejdet med udarbejdelse af sektorbekendtgørelserne. CFCS udarbejder et udkast til en modelbekendtgørelse, og med afsæt i denne vil CFCS gå i dialog med de kompetente myndigheder om de enkelte sektorbekendtgørelser. Bekendtgørelserne skal forhandles med CFCS, inden de udstedes af den ansvarlige ressortminister.

De sektoransvarlige myndigheder vil fortsat være ansvarlige for cybersikkerheden og for at føre tilsyn med NIS2-kravene i deres respektive sektorer. CFCS vil understøtte de sektoransvarlige myndigheder i at sikre et passende - og i videst muligt omfang ensartet - bundniveau for kravene til cybersikkerheden på tværs af sektorer samtidig med, at der kan tages højde for nationale risikovurderinger og eventuelle sektorspecifikke forhold.

Kan virksomheder og myndigheder forberede sig på NIS2?

De konkrete krav, der følger af NIS2-direktivet, vil blive beskrevet i sektorbekendtgørelser, der vil gælde for de respektive sektorer. Disse bekendtgørelser skal træde i kraft samtidig med loven.

De sektoransvarlige myndigheder vil være ansvarlige for at føre tilsyn med NIS2-kravene på deres respektive områder, når de træder i kraft.

Foreløbigt kan man orientere sig i NIS2-direktivet, hvor kravene er bredt formuleret.

Gode råd om cybersikkerhed?

Som nationalt kompetencecenter for cybersikkerhed rådgiver CFCS myndigheder og virksomheder for at styrke cybersikkerheden. I den forbindelse findes der generelle råd og vejledninger om cybersikkerhed og ”best practice” på Center for Cybersikkerheds hjemmeside og på sikkerdigital.dk.

Disse råd og vejledninger er ikke en facitliste for, om man lever op til NIS2-kravene.

Spørgsmål til NIS2?

Har man spørgsmål til den generelle proces for implementeringen af NIS2-direktivet i Danmark, kan man rette henvendelse til CFCS på NIS2@cfcs.dk.