EU har som naturligt led i den digitale udvikling rettet fokus mod data-, informations- og cybersikkerhed de seneste år, herunder med introduktionen af de reviderede databeskyttelsesregler (GDPR) og NIS-direktivet. Den 10. november 2022 vedtog EU-Parlamentet NIS2-direktivet, hvilket medfører nye og væsentlige regler for cybersikkerhed indenfor den private og offentlige sektor.

Digitalisering har været en afgørende forudsætning for den økonomiske vækst i Europa gennem de seneste årtier, men digitalisering og vores øgede brug af digital teknologi og netværksbaserede tjenester indebærer en række risici for vores samfund som helhed, for virksomheder, offentlige institutioner og for os som enkeltpersoner. Den digitale udvikling øger både allerede eksisterende risici og skaber helt nye.

Det hidtil væsentligste initiativ på cybersikkerhedsområdet er den endelige vedtagelse af ”Direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148” (COM/2020/823 final) – også kendt som NIS2.

Direktivet er vedtaget i Europa-Parlamentet 10. november 2022 og afventer nu endelig vedtagelse i Rådet. NIS2-direktivet skal være implementeret i dansk lovgivning senest 21 måneder efter direktivet træder i kraft; forventet efterår 2024.

NIS2-direktivet er en revidering af det nuværende NIS-direktiv, men på grund af omfanget af ændringer og niveauet af reguleringen er der reelt tale om en helt ny regulering. NIS2 er et minimumsharmoniseringsdirektiv, hvorfor de enkelte medlemsstater kan vedtage regulering, der sikrer et højere niveau af cybersikkerhed nationalt.

NIS2 indeholder dels krav rettet mod medlemsstaterne (bl.a. krav til national cyberstrategi og tilsynsforpligtelser), og dels krav rettet mod virksomheder og offentlige institutioner (bl.a. sikkerhedsledelses-, rapporterings- og ansvarsforpligtelser).

NIS2-direktivet udvider anvendelsesområdet og skærper krav markant

Formålet med NIS2-direktivet er at yderligere styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige institutioner, som anses for at være kritiske for økonomien og samfundet. Formålet er ikke alene at sikre et velfungerende indre marked, men mere generelt at bidrage til sikkerhed for borgere og virksomheder i EU.

Selvom det af bilag til forslaget til NIS2-direktivet fremgår, hvilke sektorer, delsektorer og typer af enheder der er omfattet, er det fortsat ikke fuldt afklaret, hvilke konkrete danske virksomheder og offentlige institutioner – i direktivet kaldet enheder – der vil være omfattet af NIS2-direktivet. Det skyldes både at definitioner af de typer enheder der indgår i de enkelte sektorer, ikke i alle tilfælde er klare og at vurderingen ofte afhænger af enhedens konkrete omstændigheder. Derudover kan medlemsstaterne beslutte om visse offentlige enheder skal være omfattet af eller undtaget fra direktivet. Det er dog klart, at NIS2-direktivet udvider anvendelsesområdet markant i forhold til NIS-direktivet, da langt flere sektorer nu er omfattet, herunder offentlig forvaltning, spildevandssektoren og fødevaresektoren.

Udover det udvidede anvendelsesområde, skærper NIS2-direktivet kravene til sikkerhedsledelse i de omfattede enheder væsentligt, da kravene til bl.a. risikostyring, dokumentation og rapportering skærpes. Hertil introduceres øget myndighedstilsyn og skarpere sanktioner.

Du kan høre mere om, hvad NIS2-direktivet kommer til at betyde for din virksomhed på Konference om NIS2-direktivet - 22. november 2022, som vi afholder i samarbejde med Relevent og Watch Medier. Her vil bl.a. Morten Løkkegaard fra EU-Parlamentet og Mark Fiedel fra Center for Cybersikkerhed og Sune Aggergaard fra DSB opdatere dig på de nye regler for cyber- og informationssikkerhed, samt hvordan implementeringen bør gribes an.

Hvilke enheder vil være omfattet af NIS2-direktivet?

NIS2-direktivet finder som udgangspunkt anvendelse på offentlige og private enheder, der kategoriseres som "væsentlige enheder" eller "vigtige enheder", og som leverer ydelser eller afvikler deres aktiviteter indenfor EU. Disse to typer enheder er fastlagt i bilag til direktivet.

Begrebet "væsentlige enheder" omfatter offentlige og private enheder inden for følgende sektorer:

  • Energi (elektricitet, fjernvarme, olie, gas og brint)
  • Transport (luft, jernbane, vand og vej)
  • Bankvirksomhed (kreditinstitutter)
  • Finansielle markedsinfrastrukturer (markedspladser)
  • Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.)
  • Drikke- og spildevand
  • Digital infrastruktur (bl.a. udbydere af cloud ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
  • Informations- og kommunikationstjenesteudbydere (ICT-services)
  • Udbydere af managed services og managed security services
  • Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
  • Rummet (operatører af jordbaseret infrastruktur).

Begrebet "vigtige enheder" omfatter offentlige og private enheder inden for:

  • Post- og kurertjenester
  • Affaldshåndtering
  • Fremstilling, produktion og distribution af kemikalier
  • Fremstilling, bearbejdning og distribution af fødevarer
  • Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer
  • Udbydere af visse digitale tjenester (onlinemarkedspladser og -søgemaskiner samt sociale netværkstjenester)
  • Forskning (højere læreanstalter og forskningsinstitutioner).

Hvilke enheder er undtaget fra NIS2-direktivet?

Mikrovirksomheder og små virksomheder, det vil sige virksomheder, der har under 50 ansatte og en årlig omsætning eller samlet årlig balance på under 10 mio. EUR, er som udgangspunkt ikke omfattet af NIS2-direktivet uanset, at de kategoriseres som væsentlige eller vigtige enheder. Herudover kan medlemsstaterne beslutte at undtage enheder indenfor forsvar, national sikkerhed og retshåndhævelse fra NIS2.

Visse mikrovirksomheder og små virksomheder er dog – på trods af deres størrelse – alligevel omfattet af NIS2-direktivet. Det gælder for:

  • Udbydere af offentlige elektroniske kommunikationsnet eller offentlige tilgængelige elektroniske kommunikationstjenester
  • Tillidstjenesteudbydere (valideringstjenester)
  • Udbydere af topdomænenavneregistre (TLD) og domænenavnssystemer (DNS)
  • Enheder, der er eneudbyder af en ydelse i en medlemsstat, som er væsentlig for vedligeholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter
  • Enheder, der leverer ydelser der er kritiske for samfundet, offentligheden eller en konkret sektor.

NIS2-direktivet gælder også for offentlige enheder indenfor staten (som defineret af hver medlemsstat). Tilsvarende gælder direktivet for enheder på regionalt niveau forudsat, at afbrydelse af ydelser her kan have væsentlig betydning for kritiske økonomiske eller samfundsmæssige aktiviteter. Endelig kan medlemsstaterne beslutte, at direktivet også skal gælde på lokalt, dvs. kommunalt, niveau.

Hvad er de væsentligste krav i NIS2-direktivet?

De væsentligste krav til virksomheder og offentlige enheder i NIS2-direktivet omfatter risikostyring og sikkerhedsforanstaltninger, underretningspligt, ledelsesmæssig forankring samt tilsyn, håndhævelse og sanktioner.

Risikostyring og sikkerhedsforanstaltninger

Det nuværende NIS-direktiv pålægger de omfattede enheder at træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre sikkerhedsrisici og begrænse skaderne i tilfælde af en sikkerhedshændelse.

NIS2-direktivet viderefører dette krav og opstiller yderligere krav til passende sikkerhedsforanstaltninger, der nu som minimum skal omfatte:

  • Politikker for risikoanalyse og informationssikkerhed
  • Håndtering af hændelser
  • Driftskontinuitet og krisestyring (back-up mv.)
  • Forsyningskædesikkerhed, herunder leverandørstyring/-sikkerhed
  • Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
  • Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
  • Retningslinjer for basal "computer hygiejne" og træning i cybersikkerhed
  • Politikker for brug af kryptografi og kryptering
  • Medarbejdersikkerhed, adgangskontrol og asset management
  • Sikring af interne kommunikationssystemer.

Underretningspligt

I forbindelse med NIS-direktivet blev der oprettet nationale Computer Incident Response Teams (CSIRT), som skal underrettes om væsentlige hændelser. I Danmark varetages rollen af Center for Cybersikkerhed (CFCS). Enheder omfattet af NIS2-direktivet skal ligeledes hurtigst muligt og indenfor 24 timer underrette den kompetente myndighed eller CSIRT om væsentlige hændelser og cybertrusler.

En hændelse anses som væsentlig, hvis hændelsen eller cybertruslen (i) har forårsaget eller potentielt kan forårsage væsentlige leverings- eller driftsforstyrrelser eller økonomiske tab for enheden, eller (ii) hændelsen har påvirket eller kan påvirke andre fysiske eller juridiske personer ved at forårsage betydelige materielle eller immaterielle tab.

Ledelsesmæssig forankring

Ansvaret for overholdelse af NIS-direktivet, herunder sikkerhedsinitiativer og -niveau, er placeret hos den pågældende udbyder af tjenester; altså den juridiske enhed.

Med NIS2-direktivet skærpes ansvarsbestemmelserne, da ansvaret for overtrædelse af NIS2-direktivet ikke blot er pålagt enheden, men enhedens ledelse.

Ledelsen skal således godkende de risikohåndteringsforanstaltninger, som enheden træffer vedrørende cybersikkerhed og føre tilsyn med implementeringen og vedligeholdelsen heraf.

For at sikre de tilstrækkelige kompetencer skal ledelsesmedlemmer regelmæssigt følge konkrete kurser for at opnå den nødvendige viden, indsigt og færdigheder til at forstå og vurdere cybersikkerhedsrisici og styringspraksisser samt deres indvirkning på enhedens drift. Det er dog endnu ikke fastlagt, hvordan ledelsesmedlemmerne i praksis kan og skal opfylde kravet omcybersikkerhedsrelateret uddannelse.

Tilsyn, håndhævelse og sanktioner

Efter NIS-direktivet skal de kompetente nationale myndigheder føre tilsyn med efterlevelsen af direktivets krav til sikkerhed og underretning på baggrund af konkrete hændelser, og de kompetente myndigheder er tillagt kompetence til at udstede visse påbud.

Tilsynspligterne er skærpet i NIS2-direktivet, da de kompetente nationale myndigheder løbende skal føre proaktivt tilsyn med væsentlige enheder, mens der for vigtige enheder fortsat er tale om opfølgende tilsyn. For vigtige enheder skal der således foreligge dokumentation for, tegn på eller information om, at den vigtige enhed ikke opfylder kravene til sikkerhed og underretning om hændelser. Den kompetente myndighed kan bl.a. udstede advarsler og pålæg og – særligt væsentligt – midlertidigt suspendere eller anmode om, at en person med ledelsesansvar (CEO- eller General Counsel-niveau) midlertidigt suspenderes fra at udøve ledelsesfunktioner i enheden.

NIS2-direktivet skærper desuden sanktionsmulighederne. Udover at skulle sikre, at overtrædelser straffes med sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, har den kompetente myndighed i medlemsstaterne nu konkret mulighed for at pålægge administrative bøder, hvis enheden ikke lever op til direktivets krav til risikohåndteringsforanstaltninger eller rapporteringsforpligtelser:

  • Væsentlige enheder – som minimum – kan pålægges bøder på op til det højeste af 10 mio. EUR eller 2 % af virksomhedens samlede globale årsomsætning.
  • Vigtige enheder – som minimum – kan pålægges bøder på op til det højeste af 7 mio. EUR eller 1,4 % af virksomhedens samlede globale årsomsætning.

Det vil være op til den enkelte medlemsstat at fastlægge om offentlige myndigheder skal kunne ifaldes bøder.

Øvrig regulering indenfor cybersikkerhed

Sideløbende med NIS2 forhandles anden regulering vedrørende cybersikkerhed i EU. Det omfatter særligt "Direktiv om kritiske enheders modstandsdygtighed" (CER) og "Forordning om digital operationel modstandsdygtighed i den finansielle sektor" (DORA). Sidstnævnte er nu også vedtaget af Europa-Parlamentet. Begge regelsæt udgør for sig særregulering i forhold til NIS2 og bør inddrages konkret i vurderingen af gældende krav indenfor cybersikkerhed.

Er jeres virksomhed eller offentlige enhed klar?

På baggrund af den markante udvidelse af reglernes anvendelsesområde med NIS2-direktivet er det væsentligt, at alle offentlige såvel som private enheder allerede nu forholder sig til direktivet og vurderer, hvorvidt de er omfattet.

Hvis enheden er omfattet af NIS2 anbefaler vi, at:

  • der udarbejdes et (revideret) overblik over informationsaktiver og forretningsprocesser med henblik på risikovurdering og prioritering,
  • der foretages en gap-analyse af kravene i NIS2 overfor allerede implementerede foranstaltninger og
  • der lægges en plan for implementering og vedligeholdelse af kravene i NIS2.

Særligt for virksomheder og offentlige forvaltningsenheder, der ikke tidligere har været omfattet af NIS-direktivet, kan det medføre en væsentlig administrativ og økonomisk omkostning at implementere NIS2-direktivet. Men enheder, der allerede nu er omfattet af NIS-direktivet, vil også skulle afsætte ressourcer til vurdering og implementering af NIS2-direktivet. I alle tilfælde er det afgørende at forankre implementeringen af NIS2 i den øverste ledelse og sikre rette og tilstrækkelige ressourcer til at gennemføre implementeringen.

Vi står i Horten klar til at hjælpe, hvis din virksomhed eller offentlige myndighed er omfattet af NIS2 – eller skal have afdækket om NIS2 gælder for jer.

Vil du vide mere?

Læs mere i artiklen: Implementering af NIS-direktivet

Forfattere