Kasper Bilde Nielsen
NIS2-hovedloven fremsat og fastholder minimumsimplementering
Regeringen har fremsat den danske hovedlov til implementering af NIS2-direktivet med fokus på minimumsimplementering. Målet er et højt og ensartet cybersikkerhedsniveau på tværs af sektorer uden at pålægge danske enheder strengere krav end i øvrige medlemsstater. Lovforslaget indfører pligter om styring af sikkerhedsrisici, politikker for risikoanalyse, underretning ved væsentlige hændelser samt tilsyn og håndhævelse.
Hovedloven dækker størstedelen af de berørte sektorer, mens enkelte områder fortsat reguleres gennem sektorspecifik lovgivning. Den sektoropdelte implementering fastholdes for at afspejle eksisterende tilsynsstrukturer og branchespecifikke risici.
Udvidet anvendelsesområde og ledelsesansvar
Kommunerne bliver udtrykkeligt omfattet på lige fod med private enheder. Kravene gælder for alle net- og informationssystemer, som enheden anvender i sin drift eller til at levere ydelser. Dermed er det ikke kun snævert definerede it-aktiver eller kritiske tjenester, der er omfattet.
Lovforslaget præciserer, at hvis en enhed bruger flere typer systemer, og blot nogle af dem er omfattet efter bilaget, vil alle systemer, der anvendes til drift eller levering af tjenester, være underlagt kravene. Dette understreger en helhedsorienteret tilgang til digital risikostyring.
Begrebet “ledelsesorgan” tydeliggøres, så det afspejler definitionerne i selskabslovens § 5, nr. 4, og LEV-lovens § 4 a, nr. 2. Bestyrelsen er dermed omfattet af ledelsesansvaret og skal sikre overholdelse af NIS2-kravene. Samtidig rettes den danske terminologi om midlertidig suspension, så den svarer til direktivets engelske tekst: foranstaltningen kan rettes mod fysiske personer med ledelsesansvar på niveau med administrerende direktør.
Endelig præciseres enhedsbegrebet: En enhed er bl.a. en juridisk person med eget CVR-nummer. Koncernforbundne selskaber betragtes derfor som selvstændige enheder, når de har særskilte CVR-numre, og vurderes hver for sig efter loven.
Sektoropdeling, tidsplan og øvrige tiltag
Hovedloven ledsages af sektorspecifik regulering på områder, hvor der allerede findes særskilt tilsyn og regler. De mest markante sektorlinjer fremhæves således:
- Finans: krav gennemført i sektorspecifik lovgivning.
- Energi: særregler forventes at træde i kraft inden for kort tid.
- Tele: følger hovedloven med sektorrettet lov om sikkerhed og beredskab.
Lovforslaget er sat til 1. behandling i Folketinget den 26. februar 2025, og ikrafttræden er planlagt til den 1. juli 2025.
Samtidig er der fremsat forslag til lov om kritiske enheders modstandsdygtighed (CER-loven) og en særskilt lov om sikkerhed og beredskab i telesektoren, som forventes at træde i kraft samtidig med hovedloven.
Det fremsatte lovforslag kan læses på Folketingets hjemmeside: Læs NIS2-lovforslaget som fremsat her.
