Article

NIS2

– Forbered jer på de skærpede lovkrav til cyber- og informationssikkerhed

Europa-Parlamentet er på vej med NIS2, et nyt direktiv, der ensretter og skærper lovkravene til cyber- og informationssikkerhed på tværs af EU’s medlemslande. Virksomheder og organisationer, der ikke overholder lovkravene i NIS2, kan potentielt få store bøder, som vi kender det fra GDPR i dag.

NIS2-direktivet er p.t. på vej igennem EU’s lovgivningsproces og forventes vedtaget inden udgangen af 2021 eller i starten af 2022. Når direktivet er vedtaget, vil alle omfattede organisationer få 18 måneder til at sikre, at de kan overholde de nye regler.

Lovkravene i NIS2 vil bl.a. omfatte private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren samt den offentlige sektor.

Som følge af NIS2 skal de omfattede virksomheder og organisationer leve op til særligt skærpede forpligtelser inden for to centrale områder: risikostyring og rapportering til myndigheder. Herudover får myndighederne væsentligt styrkede tilsynsbeføjelser.

Er I forberedt, hvis jeres organisation er omfattet af lovkravene i NIS2?

Mange virksomheder og myndigheder vil kunne drage store fordele af allerede nu at kortlægge, om de kan forvente at blive omfattet af NIS2.

Når I har kortlagt, om jeres organisation er omfattet af NIS2-lovkravene, vil I have overblik over det arbejde, der eventuelt ligger foran jer i forhold til at leve op til grundbetingelserne i NIS2-direktivet. Det vil gøre jer bedre forberedt på selve implementeringsarbejdet, når direktivet træder i kraft.

Hvis den indledende kortlægning viser, at I må forvente at blive omfattet af NIS2-direktivet, anbefaler vi, at I allerede nu begynder at gå i gang med at lave forarbejdet til implementeringen af de nye krav.

Som et godt næste skridt kan I begynde at skabe opmærksomhed om de skærpede lovkrav i jeres organisation eller myndighed og få samlet de rette ressourcer, så I kan løfte opgaven. På den måde sikrer I, at I har frigivet de rette ressourcer, der kan indgå koncentreret i arbejdet med at implementere NIS2.

Hvem bliver omfattet af det nye NIS2-direktiv?

NIS2 kommer til at omfatte en række nye sektorer og private aktører, der ikke har været omfattet af det nuværende NIS-direktiv.

Desuden går NIS2 væk fra den hidtidige sondring mellem vigtige tjenester og digitale tjenester og fokuserer i stedet på væsentlige og vigtige enheder inden for en række sektorer baseret på:

  • Den sektor, organisationerne opererer i, og de leverede tjenester
  • Vigtigheden af sektoren og de leverede tjenester
  • Afhængighedsforhold til andre sektorer
NIS2 udvider anvendelsesområdet og tilføjer nye sektorer og aktører baseret på vigtighed for økonomi og samfund.

Her kan du downloade en PDF med den fulde liste af virksomheds- og organisationstyper, der bliver berørt af NIS2.

NIS2 forventes desuden at indføre en minimumsgrænse, der betyder, at “små” og “mikro”-virksomheder ikke bliver omfattet af lovgivningen. “Små” og “mikro”-virksomheder er betegnelsen for virksomheder med færre end 50 ansatte eller med en årlig omsætning på under 10 millioner euro. EU indfører minimumsgrænsen for at sikre, at alle mellemstore og store organisationer bliver omfattet af direktivet.

Hvorfor indfører EU det nye NIS2-direktiv?

Det fungerende NIS-direktiv (Network and Information Systems) blev introduceret i Danmark i maj 2018. Direktivet er en fælles EU-lovgivning for cybersikkerhed og blev indført for at ensarte cybersikkerheden i samfundskritiske sektorer på tværs af EU-landene.

NIS2 ligger p.t. i høringsudkast og er på vej igennem EU’s lovgivningsproces. Med det nye direktiv vil EU styrke kravene til cybersikkerhed på tværs af EU-lande yderligere og skærpe kravene til indberetning af sikkerhedshændelser og sanktionering.

EU indfører det nye NIS2-direktiv for at imødekomme de behov, der er opstået som følge af den stadig stigende trussel for cyberkriminalitet. Samtidig har der været behov for at gøre op med flere uhensigtsmæssigheder, der blev indført i det oprindelige direktiv, hvor det bl.a. i høj grad har været op til de enkelte medlemslande at definere, hvilke sektorer og organisationer der skulle være omfattet af NIS-direktivet.

Man forventer, at NIS2-direktivet bliver vedtaget inden udgangen af 2021 eller i starten af 2022, og herefter har organisationer, der er omfattet af direktivet, 18 måneder til at sikre, at de kan overholde de nye regler.

Vi rådgiver om, hvordan I lever op til de nye krav i NIS2-direktivet

Hos Implement rådgiver vi organisationer, der gerne vil blive klogere på NIS2-direktivet. Vi følger udviklingen af direktivet i tæt dialog med beslutningstagerne og står klar til at rådgive jer om de foranstaltninger, der skal til, for at I kan leve op til de nye skærpede krav.

Hvis du ønsker at vide, hvilken indflydelse NIS2-direktivet vil have for din organisation, og hvilke krav I skal opfylde, når direktivet træder i kraft, er du altid velkommen til at kontakte en af vores eksperter: