EU-Kommissionen fremlægger en ny cybersikkerhedspakke, der både strammer styringen af IKT-forsyningskæder og justerer NIS2-rammen. Målet er højere modstandsdygtighed uden unødig kompleksitet. For virksomheder betyder det skærpede krav til leverandører, mere smidig certificering og mere forudsigelig hændelsesrapportering og tilsyn på tværs af grænser.
Skærpede krav til leverandørkæder og tredjelandsleverandører
Reguleringen retter et særligt fokus mod risiko fra leverandører med forhøjet cyberrisiko, herunder tredjelandsleverandører. Virksomheder skal dokumentere tekniske og kommercielle afhængigheder, hæve niveauet for leverandørdue diligence og indarbejde konkrete sikkerhedskrav og revisionsrettigheder i kontrakter og SLA’er for at reducere eksponeringen.
Den risikobaserede tilgang forankres tydeligere i NIS2-sammenhæng, og forventningen er, at styrket styring af IKT-forsyningskæden bliver et regulatorisk hovedkrav. Det gør løbende risikovurderinger, segmentering og exit-scenarier centrale, særligt hvor forretningskritiske systemer drives af eksterne leverandører.
Smidigere cybersikkerhedscertificering og brug til compliance
Kommissionen foreslår en revideret cybersikkerhedsforordning med hurtigere etablering af certificeringsordninger, som som udgangspunkt skal kunne etableres inden for 12 måneder. Certificering positioneres som dokumentation for efterlevelse og som konkurrenceparameter, hvilket forventes at fremme markedsadoption og sammenlignelighed på tværs af løsninger.
Virksomheder kan desuden certificere deres samlede cybersikkerhedsniveau, ikke blot enkelte produkter eller tjenester. Det giver en operationel genvej til at demonstrere NIS2-compliance over for tilsyn og kunder, men kræver moden styring af ISMS, evidens for kontroller og klare grænseflader til leverandører.
Målrettede NIS2-ændringer: klarhed, rapportering og ENISAs rolle
De foreslåede justeringer sigter mod færre byrder og større retssikkerhed uden at sænke sikkerhedsniveauet. Der lægges op til præciseringer af krav og afgrænsninger, forenklede kompetenceregler og et mere ensartet tilsyn. Hændelsesrapportering gøres mere håndterbar, herunder bedre dataindsamling om ransomware.
ENISA får en mere operativ rolle med tidligere trusselsvarsler, støtte ved større hændelser og koordination af grænseoverskridende tilsyn. Den reviderede forordning gælder, når den er vedtaget af Europa-Parlamentet og Rådet, mens NIS2-ændringerne derefter skal implementeres nationalt inden for ét år.
Virksomheder bør allerede nu genbesøge leverandørstyringen, planlægge certificeringsspor, opdatere rapporteringsprocedurer og forankre ledelsesansvar, så NIS2-implementeringen kan tilpasses de kommende ændringer og dokumentere fremdrift løbende.
