Hvad er NIS2?

Den digitale omstilling spiller en afgørende rolle i samfundet, og både virksomheder, myndigheder og borgere er i stigende grad afhængige af velfungerende digitale systemer i hverdagen. Men med den høje grad af digitalisering følger også en høj grad af sårbarhed.

Med det nye Net- og Informationssikkerhedsdirektiv (NIS2) vil EU styrke cybersikkerhedskapaciteten på tværs af medlemsstaterne.

Truslen mod vores digitale systemer kan både opstå ved menneskelige fejl og systemsvigt, men det kan også opstå ved hackerangreb og cybersabotage. Formålet med NIS2 er at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU. Det gælder både for offentlige myndigheder og virksomheder inden for en række sektorer, som anses for at være kritiske for økonomien og samfundet.

Det betyder, at hvis din virksomhed eller myndighed er omfattet af NIS2, skal I leve op til en række krav om cyber- og informationssikkerhed.

NIS2 ER DET ALMINDELIGE NAVN FOR EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2022/2555. NIS2-DIREKTIVET ERSTATTER DET GAMLE NIS-DIREKTIV OG GÆLDER BÅDE FOR FLERE SEKTORER OG STILLER HØJERE KRAV.

Direktivet bliver udmøntet i national lov og bekendtgørelser og forventes at være implementeret i dansk ret den 1. juli 2025. Herefter skal de virksomheder og myndigheder, der er omfattet, efterleve kravene i lovgivningen samt eventuelle yderligere krav, som er fastsat i EU-regi eller i bekendtgørelser. Loven kommer til at gælde for størstedelen af direktivets sektorer, med undtagelse af energi-, tele-, og finanssektorerne, hvor implementeringen vil ske ved særskilt lovgivning.

BEKENDTGØRELSER UDDYBER ELLER PRÆCISERER REGLERNE I EN LOV OG UDSTEDES AF ET MINISTERIUM. EN BEKENDTGØRELSE HAR SAMME VIRKNING SOM EN LOV.  

NIS2-lovforslaget lægger op til, at kravene til de omfattede virksomheder og myndigheder vil blive konkretiseret i sektorbekendtgørelser. Med begrebet sektorbekendtgørelse henviser vi til, at der laves bekendtgørelser målrettet de forskellige sektorer, der er omfattet af NIS2. 

Du kan følge med i status for den danske implementering af NIS2-direktivet på Center for Cybersikkerheds hjemmeside: Status på NIS2..

Tilsyn med NIS2

Det er de sektoransvarlige myndigheders opgave at føre tilsyn med, at de omfattede virksomheder og myndigheder i deres sektor efterlever NIS2-kravene. Det er ikke endeligt fastlagt, hvilke myndigheder, der skal føre tilsyn med de respektive sektorer. Når det ligger fast, vil der komme en oversigt med henvisninger her på siden.

Der vil ikke blive ført den samme type tilsyn med alle NIS2-omfattede virksomheder og myndigheder. Der vil blive ført et proaktivt tilsyn med såkaldt væsentlige enheder, mens der vil blive ført et reaktivt tilsyn med såkaldt vigtige enheder.

 

Du kan læse NIS2-lovforslaget her

 

Lovforslaget om NIS2 er under behandling og derfor kan der forekomme ændringer til ovenstående. Denne side opdateres løbende i takt med yderligere afklaringer.   

Senest opdateret 15-10-2024