Cybertruslen
Lister
Selvom NIS2 ikke er implementeret i national lovgivning endnu, og kravene derfor ikke ligger helt fast, kan organisationer med fordel begynde at forberede sig på de overordnede krav.
Lovforslaget stiller krav om cybersikkerhed til:
Organisation omfattet af NIS2 skal have en række planer for styring af cybersikkerhedsrisici og cybersikkerhedstiltag på plads for at beskytte systemer mod cybertrusler.
Virksomheder og myndigheder skal som minimum indføre følgende cybersikkerhedstiltag:
I de kommende vejledninger bliver det forklaret nærmere, hvordan man i den enkelte sektorer lever op til kravene i NIS2.
Lovforslaget stiller krav til, at ledelsen kender til de lovpligtige cybersikkerhedskrav og slår fast, at det er ledelsens ansvar at sikre, at organisationen lever op til kravene.
NIS2-lovforslaget stiller følgende krav til ledelsen:
Lovforslaget giver desuden mulighed for, at ledelsen af væsentlige enheder i særligt alvorlige tilfælde kan hjemsendes.
Organisationer, der er omfattet af NIS2, skal registrere sig i et offentligt register og indberette væsentlige hændelser.
Registrering vil foregå via et centralt register, der vil være åbent, når loven træder i kraft 1. juli 2025.
Når registeret kan tilgås, kan du finde et link til det her på siden med yderligere oplysninger.
Der arbejdes på at opdatere den fælles indberetningsløsning på virk.dk, hvor alle virksomheder og myndigheder omfattet af NIS2 kan indberette væsentlige hændelser. Når det er oprettet, kan du finde et link til portalen her.
Væsentlige hændelser der skal indberettes kendetegnes ved at de har:
Virksomheder og myndigheder, der oplever en væsentlig hændelse, skal indberette hændelsen efter følgende trin:
Når en organisation indberetter en hændelse, sørger den nationale CSIRT (Computer Security Incident Response Team) ifølge lovforslaget for, at de får en tilbagemelding på indberetningen, hvis muligt inden for 24 timer efter modtagelsen af den tidlige varsling.
De oplysninger, der er relevante for tilsynet af den pågældende organisation, sendes til den sektoransvarlige myndighed.
Derudover skal CSIRT yde vejledning, operativ rådgivning om mulige afbødende foranstaltninger og supplerende teknisk bistand, hvis den virksomhed eller myndighed der indberetter hændelsen anmoder om det.
NIS2-lovforslaget beskriver en række sanktionsmuligheder, som kan tages i brug, hvis de omfattede virksomheder og myndigheder ikke efterlever kravene; herunder bøder.
Bødestørrelsen varierer alt efter om man er omfattet som en væsentlig eller vigtig enhed og afhænger af omstændighederne i den individuelle sag.
For væsentlige enheder lægges der op til, at bødens størrelse maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 % af enhedens samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.
For vigtige enheder lægges der op til, bødens størrelse maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 % af enhedens globale årsomsætning i det foregående regnskabsår, alt efter, hvad der er højest.
Du kan læse mere om bøder i lovforslaget.