NIS2-direktivet: Hvad betyder det for SMV’er og kommuner?

NIS2-direktivet (Network and Information Systems Directive) blev vedtaget af Europa-Parlamentet den 10. november 2022 og offentliggjort i EU-Tidende den 27. december 2022. Herefter havde medlemslandene 21 måneder til at implementere direktivet i deres nationale lovgivning. I Danmark er NIS2-direktivet blevet behandlet af Folketinget, men fordi behandlingen tog længere tid end forventet, er tidspunktet for implementeringen af NIS2-direktivet i dansk lovgivning blevet udsat flere gange. Lovgrundlaget er nu vedtaget og det træder i kraft i Danmark d. 1. juli 2025.

Men hvorfor var der behov for en ny version af direktivet? Hvad er de vigtigste ændringer – og hvordan bliver små og mellemstore virksomheder (SMV’er) og kommuner påvirket? Denne artikel giver nogle svar.

Antallet af ransomware- og DDoS-angreb, phishing og andre former for cyberangreb stiger stødt og det har det gjort igennem en længere årrække. Ingen virksomhed eller organisation er immun over for cybertrusler. Efter store angreb på f.eks. Mærsk og SolarWinds blev supply chain-angreb igen udbredte, bl.a. mod Okta (autentificering) og GitHub (kodehosting). I stedet for at angribe virksomheder direkte, går cyberkriminelle i stigende grad efter underleverandører for lettere at få adgang til større mål.

Som vores rapport Security Navigator 2023 viser, kan enhver virksomhed blive ramt. I 2022 håndterede vores CyberSOC-teams 99.000 cybersikkerhedshændelser – en stigning på 5 %. Det svarer til 34 hændelser om måneden pr. kunde – eller én hver dag. I Europa steg antallet af ofre for cyberangreb med 18 % i 2022. Og i modsætning til, hvad mange tror, rammes VSB’er og SMV’er 4,5 gange oftere af cyberafpresning end mellemstore og store virksomheder. Angrebene involverer ofte malware, som krypterer it-systemer og ødelægger backup – med konkurser som den ultimative konsekvens. Som Orange Cyberdefenses CEO Hugues Foulon understregede 30. oktober 2022: “60 % af de virksomheder, der bliver ramt af et cyberangreb, går konkurs inden for seks måneder.” Det bør være en alvorlig påmindelse for alle virksomheder.

In its first version, adopted in 2016, the NIS 1 directive was designed to identify companies in so-called “essential” sectors, where loss of service could lead to significant disruption to companies and to state services. Companies responsible for critical infrastructure in 19 sectors, such as health, energy or telecommunications were then designated as OESs (operators of essential services).

Even though this first version represented a major step forward in standardizing security for the main European companies, it did not take into account subcontractors and local authorities, which have both been severely affected by security incidents these past few years.

NIS2 er ikke en radikal udvidelse af kravene, men en markant udvidelse af, hvem de gælder for. Direktivet har flere formål:

• Styrke sikkerheden hos underleverandører til kritisk infrastruktur.
• Inkludere kommuner og andre lokale myndigheder.
• Udvide antallet af omfattede sektorer fra 19 til 35 – bl.a. affaldshåndtering, posttjenester og fødevareproduktion.

En væsentlig ændring er også, at begrebet OES forsvinder. I stedet introduceres to nye kategorier: væsentlige enheder (Essential Entities, EE) og vigtige enheder (Important Entities, IE), afhængigt af virksomhedens betydning for samfundet.

Med NIS2 udvides direktivets rækkevidde betragteligt. Antallet af sektorer vokser fra 19 til 35, og mange af disse – f.eks. drikkevandsforsyning, spildevandsrensning og affaldshåndtering – rummer også mindre aktører. Det betyder, at mange flere virksomheder og offentlige instanser vil være omfattet af reglerne.

Hvor det tidligere kun var udpegede OES’er, OVI’er (operatører af vital betydning) og visse digitale tjenesteudbydere (DSP’er), der var forpligtede, vil direktivet nu også omfatte kommuner, virksomheder med over 50 ansatte og mere end én million euro i omsætning samt deres underleverandører.

Hvad indebærer forpligtelserne?

De omfattede organisationer skal bl.a.:

• Indføre sikkerhedsforanstaltninger til beskyttelse mod cybertrusler.
• Identificere og vurdere risici.
• Samarbejde med relevante myndigheder og kritiske aktører ved hændelser.
• Indrapportere alvorlige hændelser til et nationalt cybersikkerhedscenter (CERT) – først med en alarm inden for 24 timer og derefter en detaljeret hændelsesrapport inden for 72 timer.

Dette kræver investeringer i cybersikkerhed – f.eks. SOC, EDR eller XDR. Men det kan være en udfordring for kommuner og SMV’er, der mangler både teknologier og specialister.

Hvis en organisation ikke overholder direktivet, kan det få store konsekvenser. Sanktionerne varierer fra land til land, men kan inkludere:

• Bøder på op til 10 millioner euro eller 2 % af den årlige omsætning.
• Straffesager eller andre korrigerende foranstaltninger.

Sanktionerne skal være proportionelle og have afskrækkende effekt.

Opsummering

NIS2-direktivet markerer et vigtigt skridt i retning af et højere cybersikkerhedsniveau i EU – også for SMV’er og kommuner. I en tid præget af geopolitiske spændinger står disse organisationer over for både ledelsesmæssige og tekniske udfordringer. Fremover vil ca. 160.000 organisationer i Europa skulle leve op til NIS2-kravene, når lovgivningen træder i kraft. Det kræver solide partnere og rådgivere, der kan hjælpe med transformationen.

Hvis du har brug for rådgivning om, hvordan din virksomhed skal forholde sig til NIS2-direktivet eller DORA-forordningen, så tag kontakt til en af vores eksperter eller udfyld formularen herunder.