Lovforslaget stiller krav om cybersikkerhed til:

 

  • Tiltag, der skal beskytte dine net- og informationssystemer
  • Ledelsen i din organisation
  • Registrering og indberetning af hændelser til de ansvarlige myndigheder.

 

Krav til styring af cybersikkerhedsrisici

Organisation omfattet af NIS2 skal have en række planer for styring af cybersikkerhedsrisici og cybersikkerhedstiltag på plads for at beskytte systemer mod cybertrusler.

 

Virksomheder og myndigheder skal som minimum indføre følgende cybersikkerhedstiltag:

 

  1. politikker for risikoanalyse og informationssystemsikkerhed
  2. håndtering af hændelser
  3. driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
  4. forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte virksomhed eller myndighed og dens direkte leverandører eller tjenesteudbydere
  5. sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
  6. politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  7. grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
  8. politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
  9. personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
  10. brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.

 

I de kommende vejledninger bliver det forklaret nærmere, hvordan man i den enkelte sektorer lever op til kravene i NIS2.

 

Krav til ledelsen

Lovforslaget stiller krav til, at ledelsen kender til de lovpligtige cybersikkerhedskrav og slår fast, at det er ledelsens ansvar at sikre, at organisationen lever op til kravene.

 

NIS2-lovforslaget stiller følgende krav til ledelsen:

 

  • Ledelsen skal godkende de foranstaltninger til styring af cybersikkerhedsrisici, som implementeres og skal føre tilsyn med at de gennemføres.
  • Ledelsen er forpligtet til at deltage i relevante kurser om styring af cybersikkerhedsrisici, og overveje at tilbyde tilsvarende kurser til sine medarbejdere.

 

Lovforslaget giver desuden mulighed for, at ledelsen af væsentlige enheder i særligt alvorlige tilfælde kan hjemsendes.

 

Krav om registrering og indberetning

Organisationer, der er omfattet af NIS2, skal registrere sig i et offentligt register og indberette væsentlige hændelser.

 

Registrering

Registrering vil foregå via et centralt register, der vil være åbent, når loven træder i kraft 1. juli 2025.

 

Når registeret kan tilgås, kan du finde et link til det her på siden med yderligere oplysninger.

 

Indberetning af hændelser

Der arbejdes på at opdatere den fælles indberetningsløsning på virk.dk, hvor alle virksomheder og myndigheder omfattet af NIS2 kan indberette væsentlige hændelser. Når det er oprettet, kan du finde et link til portalen her.

 

Væsentlige hændelser der skal indberettes kendetegnes ved at de har:

 

  1. Forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller
  2. påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

 

Virksomheder og myndigheder, der oplever en væsentlig hændelse, skal indberette hændelsen efter følgende trin:

 

  1. Indberette hændelsen indenfor 24 timer: Indenfor 24 timer efter at enheden har fået kendskab til den væsentlige hændelse, skal enheden sende en tidlig varsling med angivelse af, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige eller ondsindede handlinger eller om den kan have en grænseoverskridende virkning.
  2. Ajourføre indberetningen med yderligere information indenfor 72 timer: Indenfor 72 timer efter, at enheden har fået kendskab til den væsentlige hændelse, skal enheden sende en hændelsesunderretning, som ajourfører oplysningerne fra den tidlige varsling og som bl.a. skal indeholde en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning.
  3. Hvis den nationale CSIRT (Computer Security Response Team) anmoder om det, skal der afgives en foreløbig rapport med relevante statusopdateringer. Denne anmodning kan komme løbende i hændelsesforløbet.
  4. Indsende en endelig rapport om hændelsen, når hændelsen er afsluttet, eller senest efter en måned. Rapporten skal indeholde: detaljeret beskrivelse af hændelsen, trusselstypen eller årsagen til hændelsen, anvendte eller igangværende afbødende foranstaltninger og eventuelle grænseoverskridende virkninger.
  5. Hvis hændelsen stadig pågår på tidspunktet for fremsendelsen af den endelige rapport, skal enheden i stedet sende en statusrapport og en endelig rapport senest en måned efter, at hændelsen er håndteret.

 

Når en organisation indberetter en hændelse, sørger den nationale CSIRT (Computer Security Incident Response Team) ifølge lovforslaget for, at de får en tilbagemelding på indberetningen, hvis muligt inden for 24 timer efter modtagelsen af den tidlige varsling.

 

De oplysninger, der er relevante for tilsynet af den pågældende organisation, sendes til den sektoransvarlige myndighed.

 

Derudover skal CSIRT yde vejledning, operativ rådgivning om mulige afbødende foranstaltninger og supplerende teknisk bistand, hvis den virksomhed eller myndighed der indberetter hændelsen anmoder om det.

 

Sanktioner ved overtrædelse af loven

NIS2-lovforslaget beskriver en række sanktionsmuligheder, som kan tages i brug, hvis de omfattede virksomheder og myndigheder ikke efterlever kravene; herunder bøder.

 

Bødestørrelsen varierer alt efter om man er omfattet som en væsentlig eller vigtig enhed og afhænger af omstændighederne i den individuelle sag.

 

For væsentlige enheder lægges der op til, at bødens størrelse maksimalt vil udgøre et beløb svarende til 10.000.000 euro eller 2 % af enhedens samlede globale årsomsætning i det foregående regnskabsår alt efter, hvad der er højest.

 

For vigtige enheder lægges der op til, bødens størrelse maksimalt vil udgøre et beløb svarende til 7.000.000 euro eller 1,4 % af enhedens globale årsomsætning i det foregående regnskabsår, alt efter, hvad der er højest.

 

Du kan læse mere om bøder i lovforslaget.

 

Sidst opdateret 24. februar, 2025 - Kl. 15.10