Implementering af NIS2: ikrafttrædelse og sektorbekendtgørelser
Forsvarsministeriet har sendt det danske lovudkast til gennemførelse af NIS2 i høring med en direktivnær tilgang. Loven foreslås at træde i kraft 1. marts 2025 uden planlagt grace period, hvilket skærper behovet for rettidig forberedelse hos omfattede enheder.
De materielle sikkerhedskrav gengiver NIS2 artikel 21, men den konkrete udlægning skal ske i sektorvise bekendtgørelser efter forhandling med Forsvarsministeren. Det er endnu usikkert, om alle bekendtgørelser foreligger ved ikrafttrædelsen, hvilket kan påvirke håndhævelsen i den første fase.
Omfang og undtagelser: energisektor, telesektor og finansiel infrastruktur
Lovens anvendelsesområde retter sig mod de sektorer, der følger af NIS2. Dansk ret udskiller dog energisektoren til en selvstændig hovedlov. Enheder under lov om cybersikkerhed i telesektoren samt fælles datacentraler reguleret af lov om finansiel virksomhed er ligeledes undtaget.
Afgrænsningen skaber behov for snitfladeafklaring i koncerner og værdikæder, hvor flere regelsæt kan finde anvendelse parallelt. Virksomheder bør derfor foretage en struktureret scope-vurdering for at identificere, hvilke enheder der er henholdsvis omfattede eller undtagne.
Registreringspligt og tilsyn: frister, dobbeltstraf og bødeforlæg
Omfattede virksomheder skal selvregistrere hos kompetent myndighed senest 17. januar 2025. Enheder, der først senere bliver omfattet, skal registrere sig inden to uger. Manglende registrering kan få betydning for tilsynets reaktioner og sanktionsrisiko.
Center for Cybersikkerhed bliver overordnet tilsynsmyndighed og national CSIRT, mens ressortmyndighederne varetager sektortilsyn. Der kan ikke udstedes administrative bøder; bøder skal rejses via Anklagemyndigheden. Samtidig undgås dobbelt bødestraf med GDPR og databeskyttelsesloven, når overtrædelserne udspringer af samme adfærd. Det aktuelle høringsmateriale kan tilgås på Høringsportalen.
