Nye krav til cybersikkerhed (NIS2) og hvem skal efterleve dem?

skal du med på det KOMMENDE nis2 WEBINAR?

Webinar inden for Cybersecurity:
NIS2, direktivets betydning for ledelsen, krav og mulighed for compliance
Dato: Torsdag d. 16. marts
Tilmeld dig her...

Har du ikke mulighed for at deltage på NIS2 webinaret den 16. marts 2023, så har du mulighed for at se eller gense webinaret fra den 26. januar 2023.

Hvad er NIS2-direktivet?

I en tid med stigende antal cyberangreb og en generelt øget digitalisering, er det oprindelige direktiv (NIS) blevet opdateret og udvidet til NIS2. NIS2 stiller derfor skærpede minimumskrav til et endnu højere it-sikkerhedsniveau, som omfatter flere sektorer, virksomheder og offentlige enheder.

Europa-Parlamentet har vedtaget en ny version af Net- og Informationssikkerhedsdirektivet (NIS2). En moderniseret ramme baseret på EU's direktiv om net- og informationssikkerhed, der har til formål at forbedre medlemslandenes kollektive IT-sikkerhed. Direktivet opstiller et fuldt funktionsdygtigt EU Cybersikkerhedsoperationscenter (SOC) i realtid, med rapporteringsforpligtelser og informationsudveksling for EU medlemslandenes kritiske infrastruktur.

Parlamentet vil med denne lovgivning skabe en øget bevidsthed og skærpede forpligtelser samt fastsætte strengere minimumsforpligtelser for risikostyring, rapporteringsforpligtelser og informationsudveksling. Kravene dækker blandt andet hændelsesrespons, sikkerhed i forsyningskæden, kryptering og deling af sårbarheder i sektoren. 

Ransomware og andre cybertrusler har hærget Europa alt for længe. Vi er nødt til at handle for at gøre vores virksomheder, regeringer og samfund mere modstandsdygtige over for fjendtlige cyberoperationer", sagde ledende MEP Bart Groothuis (Renew, NL) og formand for udvalget, der har udarbejdet direktivet. "Dette EU-direktiv vil hjælpe omkring 160.000 enheder med at stramme grebet om sikkerhed og gøre Europa til et sikkert sted at bo og arbejde. Det vil også muliggøre informationsudveksling med den private sektor og partnere rundt om i verden. Hvis vi bliver angrebet i industriel skala, er vi nødt til at reagere i industriel skala," ¹

Vicepræsident i EU Kommissionen, Magrethe Vestager understregede, at "Det vedtagne direktiv vil styrke de gældende sikkerheds- og hændelsesrapporteringsforpligtelser for virksomheder og samtidig udvide anvendelsesområdet. Jeg mener, at det er virkelig vigtigt, at nye sektorer bliver en del af den, og at nye typer tjenester sikrer en sammenhængende og harmoniseret tværsektoriel tilgang til cybersikkerhed" ¹

Hvem skal efterleve kravene i NIS2?

Indtil videre er det virksomheder med over 50 ansatte og en årlig omsætning eller samlet årlig balance på over 10 mio. euro, som i udgangspunktet vil blive omfattet af NIS2, dog med undtagelser. Hvis myndighederne vurderer, at en mindre virksomhed leverer en kristisk funktion eller tjeneste som f.eks. udbydere af offentlige elektroniske kommunikationsnet eller tillidstjenesteudbydere, skal denne virksomhed også efterleve kravene i NIS2.

Det er vigtigt, at din virksomhed allerede nu sætter sig ind i det nye direktiv, da de nye krav skal være implementeret 27 måneder efter datoen for NIS2-direktivets ikrafttrædelse. Senest samme dato udarbejder medlemsstaterne en liste over væsentlige og vigtige enheder samt enheder, der er omfattet, hvorfor de danske virksomheder må forventes at have modtaget meddelelse herom, fra den danske myndighed på området, inden.

Er du interesseret i at høre mere eller i tvivl om, hvor din virksomhed står i forhold til det nye NIS2-direktiv, så er du meget velkommen til at kontakte Klaus Ahrensbach på telefon (+45) 2145 1390 eller mail klaus.ahrensbach@bureauveritas.com.
 

Sort = Eksisterer fra NIS1 - Grøn = Nye i NIS2
Markering* (Nye enhedstyper: Elektricitetsmærket, produktion, akkumulering, efterspørgselsrespons og energilagring)

¹European Union, 2016, European Parliament