Status på NIS2

Forsvarsministeriet har d. 5. juli 2024 sendt et lovforslag i høring, der vil implementere NIS 2-direktivet i en række af direktivets sektorer. Du kan finde lovforslaget på Høringsportalen. 

 

Hvad er NIS2?

NIS2 er den almindelige betegnelse for EU-direktiv (EU) 2022/2555, som fastlægger foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i EU.

 

NIS2-direktivet bygger ovenpå og ophæver EU-direktivet om sikkerhed i net- og informationssystemer (NIS1-direktivet).

 

Formålet med NIS2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.

 

Med NIS2 indføres en række nye krav til omfattede virksomheder og myndigheder. NIS2 stiller bl.a. krav om gennemførelse af cybersikkerhedsforanstaltninger, hændelsesrapportering samt giver styrkede tilsyns- og håndhævelsesbeføjelser.

 

Flere myndigheder og virksomheder (kaldet ”enheder”) vil være omfattet, end tilfældet var med det hidtidige NIS-direktiv (NIS1). De sektorer, som er omfattet af NIS2-direktivet, er beskrevet i direktivets bilag 1 (sektorer af særligt kritisk betydning) og bilag 2 (andre kritiske sektorer).

 

Hvordan implementeres NIS2 i dansk ret?

Implementeringen af NIS2-direktivet skal sikre et højt cybersikkerhedsniveau, ensartede og genkendelige krav på tværs af de omfattede sektorer i det omfang, det er muligt, og at direktivets krav konkretiseres nærmere, så virksomheder og myndigheder får de bedste forudsætninger for at vurdere, hvad de skal efterleve.

 

Der er lagt op til, at direktivet minimumsimplementeres i Danmark. Implementeringen sker ved, at Forsvarsministeriet fremsætter en hovedlov, som skaber en fælles grundlæggende ramme for implementeringen af NIS2 på tværs af sektorer. Hovedloven vil bemyndige ressortministerierne (de sektoransvarlige myndigheder) til at konkretisere NIS2-kravene i bekendtgørelser.

Energi-, finans- og telesektorerne vil ikke blive omfattet af NIS2-hovedloven. Implementeringen af NIS2-direktivet vil ske særskilt for hver af disse sektorer.

 

Forsvarsministeriet er ansvarlig for at koordinere implementeringen af NIS2-direktivet. I praksis vil Center for Cybersikkerhed (CFCS) koordinere arbejdet med udarbejdelse af sektorbekendtgørelserne. CFCS udarbejder et udkast til en modelbekendtgørelse, og med afsæt i denne vil CFCS gå i dialog med de kompetente myndigheder om de enkelte sektorbekendtgørelser. Bekendtgørelserne skal forhandles med CFCS, inden de udstedes af den ansvarlige ressortminister.

 

De sektoransvarlige myndigheder vil fortsat være ansvarlige for cybersikkerheden og for at føre tilsyn med NIS2-kravene i deres respektive sektorer. CFCS vil understøtte de sektoransvarlige myndigheder i at sikre et passende - og i videst muligt omfang ensartet - bundniveau for kravene til cybersikkerheden på tværs af sektorer samtidig med, at der kan tages højde for nationale risikovurderinger og eventuelle sektorspecifikke forhold.

 

Hvem er omfattet af NIS 2?

NIS 2-direktivet fastsætter detaljerede regler for, hvilke virksomheder, myndigheder og organisationer (i direktivet kaldet enheder) der omfattes af direktivets anvendelsesområde. Dette er modsat NIS 1-direktivet, hvor medlemsstaterne havde ansvaret for at identificere omfattede enheder.

 

De enheder, der foreslås omfattet af loven, vil således hovedsageligt være virksomheder, organisationer og offentlige myndigheder mv. (juridiske personer).

 

Der lægges med lovforslaget op til, at loven vil gælde for bestemte typer af enheder, der leverer sine tjenester eller udfører sine aktiviteter inden for EU, inden for de af direktivet oplistede sektorer. Af NIS 2-direktivet fremgår følgende sektorer:

 

Af lovforslagets bilag 2 fremgår sektorerne: 1) transport med delsektorerne: a) luft, b) jernbane, c) vand og d) vejtransport, 2) sundhed, 3) drikkevand, 4) spildevand, 5) digital infrastruktur, 6) forvaltning af IKT-tjenester (informations- og kommunikationstjenester) (business to business), 7) offentlig forvaltning og 9) rummet.

 

Af lovforslagets bilag 3 fremgår følgende sektorer: 1) post- og kurertjenester, 2) affaldshåndtering, 3) fremstilling, produktion og distribution af kemikalier, 4) produktion, tilvirkning og distribution af fødevarer, 5) fremstilling med delsektorerne: a) Fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik, b) fremstilling af computere og elektroniske og optiske produkter, c) fremstilling af elektrisk udstyr, d) fremstilling af maskiner og udstyr intet andetsteds nævnt, e) fremstilling af motorkøretøjer, påhængsvogne og sættevogne og f) fremstilling af andre transportmidler, 6) digitale udbydere og 7) forskning.

 

Hvilke typer af enheder, der indgår i de enkelte sektorer og delsektorer, er oplistet i lovforslagets bilag 2 og 3. Du kan få et nærmere overblik ved at slå op i lovforslagets bilag 2 og 3.

 

Herudover omfattes – uanset om de måtte være omfattet af de oplistede sektorer – enheder, der er identificeret som kritiske i medfør af den danske implementering af CER-direktivet, og enheder, der leverer domænenavnsregistreringstjenester.

 

Størrelseskravet

Der lægges med lovforslaget op til, at det som udgangspunkt kun er enheder af en vis størrelse, der omfattes af loven. Dette indebærer, at enheder af en størrelse svarende til mikrovirksomheder og små virksomheder som udgangspunkt ikke vil blive omfattet af lovens anvendelsesområde.

 

For at leve op til størrelseskravet i lovforslaget, skal enhederne derfor som udgangspunkt beskæftige mindst 50 personer og have en årlig omsætning eller en samlet årlig balance på over 10 mio. euro.

 

Dog vil visse typer af enheder blive omfattet uanset deres størrelse. Det gælder eksempelvis tillidstjenesteudbydere, topdomænenavneadministratorer, udbydere af domænenavnssystemer, offentlige forvaltningsenheder under den centrale forvaltning (statslige myndigheder) samt regionale forvaltningsenheder (regionerne), i det omfang de leverer kritiske tjenester.

 

Derudover lægges der op til, at loven også vil gælde for enheder, der lever op til en række kriterier i relation til deres samfundsmæssige betydning herunder, bl.a. hvis enheden er den eneste udbyder af en væsentlig tjeneste, eller hvis forstyrrelser af tjenesten kan have alvorlige samfundsmæssige følgevirkninger.

 

Herudover omfattes enheder uanset deres størrelse, hvis de er identificeret som kritiske i medfør af den danske implementering af CER-direktivet, og enheder, der leverer domænenavnsregistreringstjenester.

 

Sondringen mellem om en enhed er væsentlig eller vigtig

I lovforslaget sondres der grundlæggende mellem væsentlige og vigtige enheder. Reglerne for de to typer enheder er som udgangspunkt ens, men sondringen har navnlig betydning for tilsynet med enhederne og de håndhævelsesmuligheder, der kan anvendes over for enhederne.

 

I lovforslaget er der en række kriterier for, hvordan enhederne inddeles i henholdsvis væsentlige og vigtige enheder.

 

Der lægges overordnet med lovforslaget op til, at store virksomheder, der opererer i sektorer af særlig kritisk betydning (lovforslagets bilag 2), visse digitale udbydere, statslige myndigheder, enheder der er omfattet af loven på grund deres særlige samfundsmæssige betydning, enheder omfattet af den danske implementering af CER-direktivet, og enheder der var omfattet af NIS 1-direktivet, vil være væsentlige enheder.

 

Der lægges samtidig op til, at enheder, der ikke opfylder kriterierne for at være væsentlige enheder, anses for at være vigtige enheder.

 

Du kan finde de nærmere regler om, hvornår man er en væsentlig eller en vigtig enhed i lovforslaget.

 

Kan virksomheder og myndigheder forberede sig på NIS2?

De konkrete krav, der følger af NIS2-direktivet, vil blive beskrevet i sektorbekendtgørelser, der vil gælde for de respektive sektorer. Disse bekendtgørelser skal træde i kraft samtidig med loven.

 

De sektoransvarlige myndigheder vil være ansvarlige for at føre tilsyn med NIS2-kravene på deres respektive områder, når de træder i kraft.

 

Foreløbigt kan man orientere sig i NIS2-direktivet, hvor kravene er bredt formuleret.

 

Gode råd om cybersikkerhed?

Som nationalt kompetencecenter for cybersikkerhed rådgiver CFCS myndigheder og virksomheder for at styrke cybersikkerheden. I den forbindelse findes der generelle råd og vejledninger om cybersikkerhed og ”best practice” på Center for Cybersikkerheds hjemmeside og på sikkerdigital.dk.

 

Disse råd og vejledninger er ikke en facitliste for, om man lever op til NIS2-kravene.

 

Spørgsmål til NIS2?

Har man spørgsmål til den generelle proces for implementeringen af NIS2-direktivet i Danmark, kan man rette henvendelse til CFCS på NIS2@cfcs.dk.