NIS 2 bliver om lidt til virkelighed i Danmark. Hvad skal din virksomhed være opmærksom på?

NIS 2 bliver om lidt til virkelighed i Danmark. Hvad skal din virksomhed være opmærksom på?

Compliance IT-ret EU-ret Persondata og cybersikkerhed
NIS 2 rulles ud i Danmark via en tværsektoriel rammelov og sektorbekendtgørelser. Berørte virksomheder skal selv vurdere omfang, registrere sig og efterleve skærpede krav til hændelsesrapportering og sikkerhedsforanstaltninger. Sanktioner er betydelige, og ledelsen har klare pligter.
AH
Anna Hjortlund
JB
Julie Bak-Larsen

Danmark implementerer NIS 2 via en tværsektoriel rammelov suppleret af sektorbekendtgørelser. Virksomheder, der opfylder kriterierne, skal selv vurdere deres status, registrere sig og indrette deres styring af cybersikkerhed efter de nye minimumskrav og rapporteringsfrister. EU-Kommissionens kommende gennemførelsesretsakter – særligt for digitale udbydere – vil konkretisere tekniske krav, som kan få direkte virkning og bør indgå i planlægningen allerede nu.

Ramme, tidsplan og EU-akter

Hovedloven fastlægger de tværgående rammer, mens hver (del)sektor får specifikke regler om sikkerhedsforanstaltninger, hændelsesrapportering og tilsyn. For teleområdet afventes særskilt lovgivning, mens energisektoren forventes reguleret via lov, og den finansielle sektor er allerede omfattet gennem ændringer, der er trådt i kraft og kan læses på retsinformation.dk.

NIS 2 forudsætter desuden gennemførelsesretsakter, som præciserer udvalgte forpligtelser, herunder sikkerhedsforanstaltninger og rapportering. Udkast for digitale udbydere (bl.a. cloud, forvaltede it-tjenester, datacentre og online markedspladser) indeholder detaljerede krav, der væsentligt udbygger direktivets rammer. Virksomheder i disse kategorier bør tilpasse deres implementering i lyset af udkastene.

Omfang og registrering

Omfattet status vurderes selskab for selskab og beror på ydelser, etablering og størrelse. Virksomheder skal kunne dokumentere deres vurdering og registrere sig hos den relevante myndighed. Leveres ydelser på tværs af (del)sektorer eller lande, kan der opstå pligt til flerstrenget registrering.

De centrale optagelseskriterier kan sammenfattes således:

  1. Levering af ydelser omfattet af bilag 2 og/eller 3.
  2. Etablering i EU eller levering af ydelser til EU-markedet.
  3. Overskridelse af SMV-tærskler; ofte vurderet på koncernniveau ved indbyrdes afhængighed.

Enheder i bilag 2 kategoriseres som væsentlige, mens øvrige omfattede enheder er vigtige. Forskellen knytter sig primært til tilsynets intensitet og sanktionsniveauer; materielle krav er i det væsentlige ens. Statslige myndigheder omfattes som udgangspunkt uanset størrelse, mens kommuner og universiteter følger, hvis de leverer ydelser omfattet af bilagene.

Rapportering og sikkerhedskrav

Ved kendskab til en væsentlig sikkerhedshændelse skal en early warning afgives uden unødig forsinkelse og senest inden 24 timer, med efterfølgende opdatering inden 72 timer samt en afsluttende, uddybende rapport inden en måned. Fristerne løber parallelt fra det tidspunkt, hvor enheden bliver bekendt med hændelsen. Den nærmere afgrænsning af “væsentlig” fastsættes i sektorbekendtgørelser og EU-akter.

Minimumskravene til sikkerhedsforanstaltninger dækker centrale styrings- og kontrolområder. Virksomheder bør sikre en sammenhængende implementering på tværs af politikker, processer og teknik, herunder:

  • Risikopolitikker og informationssikkerhed samt effektiv hændelseshåndtering.
  • Driftskontinuitet, herunder backup og katastrofeberedskab, samt krisestyring.
  • Forsyningskædesikkerhed i relation til leverandører og tjenesteudbydere.
  • Sikker udvikling og vedligehold, inkl. sårbarhedshåndtering og offentliggørelse.
  • Løbende evaluering og test af foranstaltningers effektivitet.
  • Grundlæggende cyberhygiejne og målrettet uddannelse.
  • Kryptografipolitikker og, hvor relevant, kryptering.
  • Personalesikkerhed, adgangsstyring og forvaltning af aktiver.
  • Brug af multifaktorautentificering og sikrede kommunikationsløsninger.

Tilsyn, sanktioner og ledelse

Væsentlige enheder risikerer bøder på op til 2 % af global omsætning eller 10 mio. EUR, mens vigtige enheder kan mødes med op til 1,4 % eller 7 mio. EUR. I Danmark udstedes bøder via straffesystemet efter politianmeldelse. Den danske lov indfører ikke et skærpet personligt ledelsesansvar ud over de almindelige regler; personlig ansvarspådragelse forudsætter som udgangspunkt grov uagtsomhed eller forsæt.

Ledelsesorganet skal godkende sikkerhedsforanstaltninger, føre tilsyn med implementeringen og sikre løbende effektivitet. Bestyrelse og direktion skal desuden deltage i relevante kurser. Praktisk anbefales det at følge EU-akterne tæt, afstemme med de kommende sektorbekendtgørelser og planlægge registrering. Digitale udbydere har frist 17. januar 2025, mens øvrige aktører har frist 17. april 2025. Internationale koncerner bør samtidig håndtere eventuelle nationale registreringskrav i andre medlemsstater.

Læs hele artiklen hos Bird & Bird →
Søgeord
Hændelsesrapportering, Ledelsesansvar, NIS2, Cybersikkerhed, Væsentlige enheder, Vigtige enheder, Kryptering, Tilsynsmyndighed, Implementeringslov, Adgangskontrol, Sårbarhedshåndtering, Bødeniveau, Driftskontinuitet, Eu ret, Forsyningskædesikkerhed, Krisestyring, Cloudtjenester, Rammelovgivning, Datacentre, Multifaktorautentificering, Personalesikkerhed, Bilag 3, Tidlig varsling, Bilag 2, Gennemførelsesretsakt, Indledende vurdering, Slutrapport, Sektorspecifik bekendtgørelse, SMV tærskel, Koncernvurdering, Etablering i EU, Grænseoverskridende virkning, Backup styring, Forvaltning af aktiver, Forvaltede it tjenester, Online markedsplads

Relaterede artikler

Ny podcast om AI og konsekvensanalyser
Datatilsynet

Ny podcast om AI og konsekvensanalyser

Datatilsynet forklarer, hvornår en DPIA er påkrævet ved brug af AI, hvilke risici der er centrale, og hvad analysen som minimum skal indeholde. Podcasten dækker også dataansvarliges pligter ved indkøb, opdatering og forudgående høring efter GDPR.
EU justerer NIS2 og styrker cybersikkerheden
Lund Elmer Sandager

EU justerer NIS2 og styrker cybersikkerheden

EU skærper leverandørstyring, gør certificering hurtigere og præciserer NIS2-krav. ENISA får en mere operativ rolle, mens rapportering og tilsyn forenkles. Virksomheder bør opdatere leverandørstyring, planlægge certificering og forberede national implementering.
Hvornår forventer du at vende tilbage?
Norrbom Vinding

Hvornår forventer du at vende tilbage?

Ligebehandlingsnævnet frifandt en kommune for handicapdiskrimination efter opsigelse af en sygemeldt socialrådgiver. Langvarigt fravær uden tidshorisont betød, at medarbejderen ikke var kompetent, egnet og disponibel, og at tilpasninger ikke kunne afprøves forsvarligt.
Høringssvar over forslag til lov om reparation af varer
Danske Advokater

Høringssvar over forslag til lov om reparation af varer

Justitsministeriets lovforslag om reparation af varer får opbakning for en balanceret model mellem forbrugerrettigheder og retssikkerhed. Der efterlyses dog klarhed om samspillet med forældelsesloven, reklamationsfrister og overgangsregler for en forudsigelig implementering.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Accura Advokatpartnerselskab
Accura Nordhavn søger erfaren complianceprofil med fokus på GDPR
Accura Advokatpartnerselskab
Erhvervsministeriet
Engageret jurist med interesse for offentlig ret til Erhvervsstyrelsens interne advokatkontor
Erhvervsministeriet
Bruun & Hjejle Advokatpartnerselskab
Advokatfuldmægtig til Competition & EU
Bruun & Hjejle Advokatpartnerselskab
Københavns Kommune
Jurister til IT-Udbudsrådgivning og Kontraktstyring
Københavns Kommune
Konkurrence- og Forbrugerstyrelsen
Kontorchef til Center for TECH hos konkurrence-og Forbrugerstyrelsen
Konkurrence- og Forbrugerstyrelsen
Sundhedsdatastyrelsen
Erfaren jurist til udviklingsopgaver i Sundhedsdatastyrelsen
Sundhedsdatastyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →