Hvilke virksomheder er omfattet af NIS2?

Direktivet gælder for udvalgte vigtige og kritiske enheder i bl.a. energi, finans, telesektor, sundhed og digitale infrastrukturer. Omfang og krav fastlægges i national implementering og sektorbekendtgørelser.

Hvad er de centrale krav under NIS2?

Virksomheder skal etablere ledelsesforankret governance, dokumenterede sikkerhedspolitikker, forsyningskædekontrol, løbende risikovurdering samt effektiv hændelseshåndtering og rapportering til myndighederne.

Hvordan håndhæves NIS2 i Danmark?

Center for Cybersikkerhed koordinerer tilsynet, mens sektorer som finans og energi får eget sektortilsyn. Overtrædelser kan medføre bøder og midlertidige indgreb i ledelsesbeføjelser.

23. august 2024

•

Focus Advokater

Bliv klogere på NIS2-direktivet

Compliance IT-ret EU-ret Persondata og cybersikkerhed

NIS2 skærper krav til governance, rapportering og forsyningskæder, mens CFCS koordinerer tilsyn på tværs af sektorer. Få overblik over dansk implementering, Kommissionens udkast til delegeret retsakt, FSR’s nye ISAE 3000-erklæring og samspillet med CRA, GPSR og EU’s certificeringsordninger.

Jesper Løffler Nielsen

Jesper Krag Troelsen

NIS2 skærper de fælles EU-krav til cybersikkerhed for kritiske og vigtige enheder og øger håndhævelsen med bøder og muligt ledelsesansvar. I Danmark bliver Center for Cybersikkerhed koordinerende tilsyn, mens udvalgte sektorer får egne tilsyn efter sektoransvarsprincippet. Læs direktivet på eur-lex.europa.eu, og se myndighedsinfo hos CFCS.

Kernekrav efter NIS2 og forventet håndhævelse

NIS2 harmoniserer reglerne, udvider anvendelsesområdet og stiller mere konkrete krav til styring af cyberrisici, politikker, rapportering og forsyningskæder. Manglende efterlevelse kan udløse bøder (op til 10 mio. euro eller 2 % af global omsætning) og midlertidige indgreb i ledelsesbeføjelser.

Centrale efterlevelsesområder, som virksomheder bør prioritere, omfatter blandt andet:

Ledelsesforankring og klar governance.
Sikkerhedspolitikker og dokumenterede kontroller.
Forsyningskædekrav og løbende leverandørstyring.
Hændelseshåndtering og rettidig rapportering.
Løbende risikovurdering og grundlæggende cyberhygiejne.

Status for dansk implementering og sektortilsyn

Finanssektoren har allerede implementeret NIS2 og DORA med særlovgivning, herunder krav til trusselsbaseret test og styring af cyberrisici. Se loven på retsinformation.dk.

I energisektoren er et lovudkast sendt i høring med forventet ikrafttrædelse 1. januar 2025, og udmøntende bekendtgørelser er varslet. Se høringen på hoeringsportalen.dk. For øvrige sektorer er en hovedlov sendt i høring af Forsvarsministeriet med forventet ikrafttræden 1. marts 2025; fortolkning ventes uddybet i sektorbekendtgørelser fra bl.a. Digitaliseringsstyrelsen og CFCS. Se høringen på hoeringsportalen.dk.

Delegated Act, revisionserklæring og relateret EU-regulering

Kommissionens udkast til delegeret retsakt præciserer metode- og minimumskrav for bl.a. cloud, hosting og ICT service management med klare pejlemærker om politikker (herunder emnespecifikke), rollefordeling og forsyningskædesikkerhed i tråd med ISO 27001 og ENISA’s anbefalinger. Se udkast og høringssvar på ec.europa.eu, og praksis på enisa.europa.eu.

FSR har lanceret en ISAE 3000-baseret NIS2-erklæring til brug i leverandørkontrol med begrænset sikkerhed. I den bredere EU-kontekst indfører GPSR cybersikkerhed som sikkerhedselement for forbrugerprodukter, CRA styrker security-by-design og overensstemmelsesvurderinger, og EUCC etablerer et fælles EU-certificeringsregime med kommende ordninger for cloud og 5G. Se EU’s certificeringsramme på digital-strategy.ec.europa.eu.

Læs hele artiklen hos Focus Advokater →

Søgeord