Forsvarsministeriet har sendt et lovforslag i høring, der gennemfører NIS2 i Danmark med planlagt ikrafttræden 1. marts 2025. Modellen er en minimumsimplementering og indebærer, at hver omfattede sektor får en kompetent myndighed med tilsyns- og regelkompetence. Det sker i forlængelse af EU’s målsætning om et højt og ensartet cybersikkerhedsniveau på tværs af kritiske sektorer som energi, transport, sundhed, drikkevand og digital infrastruktur.
Loven opstiller overordnede rammer, mens detaljerede krav fastsættes senere i bekendtgørelser. Virksomheder og offentlige enheder skal derfor forvente sektorspecifik regulering og et risikobaseret efterlevelsesregime. Samtidig fastholdes et krav om ledelsesforankring og dokumentation, og der lægges op til tættere myndighedstilsyn. Den udskudte ikrafttræden ændrer ikke på forpligtelsernes omfang, men giver tid til at etablere processer og styringsmekanismer.
Følgende kernetiltag bør prioriteres allerede nu:
- Risikostyring og passende tekniske og organisatoriske sikkerhedsforanstaltninger.
- Ledelsesforankring, intern kontrol og dokumentation af efterlevelse.
- Hændelsesrapportering og beredskab med klare interne procedurer.
- Leverandør- og forsyningskædesikkerhed med kontraktuelle krav.
- Løbende tilsyn, audits og opfølgning i forhold til sektorspecifikke bekendtgørelser.
