En samlet EU-lovpakke med NIS2, DORA og CER er på vej ind i dansk ret med lovforslag forventet fremsat i februar 2024. Reguleringen vil udvide det nuværende anvendelsesområde markant og bringe flere tusinde virksomheder og offentlige enheder ind under skærpede krav til cybersikkerhed, beredskab og styring af digitale risici. Det kræver et tydeligt gearskifte i ledelsesforankring, dokumentation og leverandørstyring på tværs af sektorer.
Implementering og rammer
Forsvarsministeren forventes at fremsætte en rammelov til implementering af NIS2 på tværs af flere sektorer. Modellen lægger op til, at udpegede ressortmyndigheder fastsætter detaljerede krav gennem bekendtgørelser. Samtidig ventes en særskilt lov til implementering af CER, der retter sig mod både digital og fysisk robusthed i 11 kritiske sektorer og delvist overlapper NIS2 og DORA. Endelig sektorfordeling og tilsynsstruktur afklares i forbindelse med lovforslagene.
Lovkataloget angiver endnu ikke den endelige tilsynsmodel, men afspejler en kombination af tværgående rammer og sektorspecifik udmøntning. Aktører bør derfor følge høringer og kommende bekendtgørelser nøje, da kravene vil blive konkretiseret løbende og kan variere mellem sektorer.
Sektorspecifik regulering
I energisektoren lægges der op til en særskilt “lov om styrket beredskab”, der skal gennemføre både NIS2 og CER. Den begrundes i et højt trusselsniveau og indebærer et ambitiøst beredskab samt adgang til sikkerhedsgodkendelse af medarbejdere i kritiske funktioner. Kravene kan omfatte skærpet risikostyring, øvelser og rapporteringspligt.
For den finansielle sektor sker implementeringen via ændringer i lov om finansiel virksomhed. NIS2 tænkes målrettet bl.a. finansielle datacentraler og operatører af detailbetalingssystemer, mens DORA får bred anvendelse for finansielle virksomheder og visse systemiske IKT-leverandører, herunder større cloududbydere. Finanstilsynet forventes at forblive kompetent tilsynsmyndighed på området.
Konsekvenser og næste skridt
Virksomheder i energi, finans, transport, sundhed, digital infrastruktur, forsyning, fødevarer og fremstilling bør forberede opdateret governance, risikostyring, hændelseshåndtering, kontinuitetsplaner og styring af tredjepartsleverandører. Kravene omfatter også forøget dokumentation og ledelsesrapportering.
Praktisk anbefales en tidlig kortlægning af omfang og roller, en gap-analyse mod NIS2, DORA og CER, samt opdatering af kontrakter og due diligence over for IKT-leverandører. Forløbet bør koordineres med den relevante ressortmyndigheds bekendtgørelser, så implementeringen bliver proportional, effektiv og revisionsklar.
