Regeringen har ændret kurs: Danmarks implementering af NIS2 lægger nu op til, at alle kommuner omfattes fuldt ud, og at kravene gælder for samtlige net- og informationssystemer, der bruges til kommunale operationer og tjenesteydelser. Udmeldingen følger ministeriets fortolkning af direktivets artikel 21, stk. 1.
Omfang og retligt grundlag
Ministeriet præciserer, at NIS2 ikke kun retter sig mod udpegede aktiviteter i bilagene, men mod hele den digitale drift. Kommunerne bliver dermed underlagt de samme pligter som øvrige enheder i lovens anvendelsesområde, hvilket reducerer afgrænsningsproblemer. KL har længe ønsket en fuld og entydig omfattelse.
Lovforslaget blev fremsat den 6. februar og foreslås at træde i kraft 1. juli 2025. Overgangen bliver tidskritisk, og der forventes vejledning i dialog mellem ministeriet, KL og relevante myndigheder om den praktiske efterlevelse.
Krav og næste skridt
NIS2 kræver ledelsesmæssig forankring, systematisk risikostyring og passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder styring af leverandør- og forsyningskæder. Underretningspligten ved hændelser rækker videre end GDPR’s sikkerhedsbrudsregime og omfatter tidlige varsler og opfølgende rapporter.
Kommunerne bør derfor igangsætte et struktureret implementeringsprogram med klare roller, dokumentation og løbende kontrol. Det indebærer bl.a. kortlægning af systemer og afhængigheder, risikovurdering og gap-analyse, etablering af governance og politikker, robuste hændelses- og underretningsprocedurer samt leverandørstyring og kontraktmæssige minimumskrav. Snitfladerne til databeskyttelse og øvrig forvaltningsretlig regulering bør samtidig harmoniseres, så processer for klassifikation, hændelsesrespons og rapportering er konsistente.
