Hvad kommer NIS2-direktivet til at betyde for jeres organisation?

NIS2 repræsenterer en milepæl i EU's bestræbelser på at opretholde og styrke IT-sikkerheden på tværs af medlemsstaterne. Direktivet er EU's opdaterede lovgivning om cybersikkerhed, der blev effektueret i 2023 som en fortsættelse af det oprindelige NIS-direktiv fra 2016. Opdateringerne har været nødvendige på grund af de hurtigt skiftende digitale trusler i og imod Europa. Direktivet sigter mod at styrke EU's samlede cybersikkerhed ved at fastsætte strengere standarder for sektorer, der er afgørende for samfundet, f.eks. energi, sundhed, transport og finans.

For at opnå dette kræver NIS2, at medlemsstaterne etablerer relevante IT-response teams for cybersikkerhed. Derudover er virksomheder inden for de kritiske sektorer forpligtet til at implementere øgede sikkerhedsforanstaltninger og rapportere om alvorlige cybersikkerhedshændelser. Direktivet fremhæver behovet for en harmoniseret tilgang til cybersikkerhed for at beskytte EU-borgere og EU’s økonomiske interesser i en fortsat mere digitaliseret verden.

Hvem er omfattet af NIS2?

EU ønsker med NIS2 at beskytte IT-infrastrukturen inden for EU mod cybertrusler og cyberkriminalitet hos de væsentlige og vigtige enheder, som leverer samfundskritiske ydelser på tværs af offentlige og private virksomheder/organisationer. 

Kapitalselskaber er omfattet af NIS2-direktivet, hvis de har over 50 ansatte, en årlig omsætning og/eller balance på over 10 mio. euro og opererer inden for bestemte sektorer.

Offentlige myndigheder er omfattet uanset størrelse, hvis der er tale om en statslig myndighed.

Bliv klogere på, hvilke sektorer der er omfattet af NIS2 i oversigten herunder. 

NIS2-DIREKTIVET FORPLIGTER TOPLEDELSEN

Mange organisationer lader i dag ansvaret for deres IT-sikkerhed bo i IT-afdelingen. Topledelsen kan i teorien leve op til deres ansvar ved at ansætte en IT-chef eller en sikkerhedschef på posten.

NIS-direktivet placerer sikkerhedsansvaret hos tjenesteudbyderen, mens NIS2 skærper dette ved at gøre ledelsen direkte ansvarlig for IT-sikkerheden. Ledelsen skal godkende og overvåge cybersikkerhedstiltag, og ledelsesmedlemmer forventes at opdatere deres viden gennem relevante kurser.

Specifikke uddannelsesretningslinjer er endnu ikke fastlagt.

Uagtet om der er tale om en kapitalvirksomhed eller en offentlig myndighed, har ledelsen ansvar for:

• At godkende foranstaltninger til styring af cybersikkerhedsrisici
• At føre tilsyn med gennemførelsen
• At følge kurser, så ledelsen opnår tilstrækkelige kundskaber og færdigheder vedr. cybersikkerhedsrisici

I kapitalselskaber kan ledelsen holdes ansvarlig for pligtforsømmelser, jf. selskabsloven og sektorspecifik regulering, overtrædelser, jf. NIS2-reglerne (administrativt og evt. civil- og strafferetligt alt efter implementeringslovgivningen), og kan på baggrund heraf forbydes at udøve ledelsesfunktioner i selskabet, jf. NIS2-reglerne.

Hos offentlige myndigheder kan ledelsen ligeledes holdes ansvarlig for overtrædelser, jf. NIS2-reglerne. Derudover kan de holdes ansvarlige for pligtforsømmelser, jf. straffelovens § 155, 156 og 157 samt tjenestemandsloven, iht. overenskomst og/eller kontrakter.

Medlemmer af Folketinget, regionsråd og kommunalbestyrelser er dog undtaget, da ministeransvarsloven, kommunestyrelsesloven og regionsloven i stedet gør sig gældende på dette område.

Skærpede NIS2-krav til tilsyn

Med NIS2-direktivet stilles der flere krav til IT-sikkerheden generelt. Der forventes større ledelsesmæssig forankring og tilsyn, bedre risikostyring og stærkere sikkerhedsforanstaltninger. Ved tilsyn skal I blandt andet kunne dokumentere, at der løbende bliver gennemført risikovurderinger, og at I har implementeret tilstrækkelig sikkerhed i forhold til risiko, trusler og sårbarheder. Håndhævelse, sanktioner og underretningspligt kommer også i spil.

Konsekvensen ved manglende overholdelse af NIS2

Organisationer risikerer bøder på indtil 2% af deres årlige omsætning. Yderligere sanktioner kan omfatte advarsler, krav, forbud, offentliggørelse af forseelser eller udnævnelse af en tilsynsansvarlig i virksomheden.

Hvordan disse foranstaltninger nøjagtigt skal håndhæves afhænger af, hvordan nationale love tilpasser sig NIS2-direktivet.

Sådan kommer I i gang med forberedelserne til NIS2-implementeringen

Det bliver en tidskrævende og ressourcetung proces at få implementeret NIS2-kravene fyldestgørende i jeres virksomhed. Det er en opgave, som kommer til at gå på tværs af jeres ledelse, sikkerhed, IT og jura, og der vil formentlig blive stillet krav fra jeres kunder om, at I har taget tilstrækkeligt initiativ i god tid. Derfor er vores anbefaling, at jo før I kommer i gang, jo bedre. 

Vores hold af eksperter er allerede i fuld gang med NIS2-projekter hos flere kunder fra en lang række af de berørte sektorer. Vi kan f.eks. starte med at lave en gap-analyse i forhold til NIS2-kravene for jeres virksomhed og derefter bidrage med en passende implementeringsplan.

Ræk ud til os for at høre, hvad vi kan gøre for jer. 

Læs mere om vores rådgivning inden for cybersikkerhed.