NIS2-direktivet: Hvad er det, hvordan forbereder man sig, og hvilke sektorer er omfattet?

Den 13. maj 2022 vedtog Europa-Parlamentet og Det Europæiske Råd en foreløbig aftale om NIS2-direktivet, som skal sikre et højt og fælles cybersikkerhedsniveau i hele EU. Den 28. november blev den endelige tekst godkendt i Rådet. Direktivet blev offentliggjort i EU’s Tidende i midten af maj og trådte i kraft 20 dag efter offentliggørelsen. Herefter havde medlemslandene 21 måneder til at implementere direktivet i national lovgivning. I Danmark er NIS2-direktivet blevet behandlet af Folketinget. Behandlingen tog længere tid end forventet. Derfor er tidspunktet for implementeringen af NIS2-direktivet i dansk lovgivning blevet udsat flere gange. Lovgrundlaget er nu vedtaget og det træder i kraft i Danmark d. 1. juli 2025.

Hvad er formålet med NIS2?

NIS2-direktivet er et svar på Europas stigende udsathed over for cybertrusler. Det har til formål at styrke både den offentlige og private sektors robusthed og evne til at håndtere cyberhændelser – og dermed styrke hele EU’s cybersikkerhed. Ifølge Det Europæiske Råds pressemeddelelse har det reviderede direktiv til hensigt at fjerne forskelle i cybersikkerhedskrav og implementering på tværs af medlemslandene. Den første version af NIS-direktivet viste sig nemlig at være svær at implementere, hvilket førte til fragmentering på tværs af det indre marked.

For at imødekomme dette opstiller NIS2 minimumsregler for et reguleringsrammeværk og etablerer klare retningslinjer for effektivt samarbejde mellem relevante myndigheder i hvert medlemsland.

Hvad er nyt i NIS2?

Med NIS2 udvides direktivets anvendelsesområde, så flere sektorer bliver forpligtet til at styrke deres håndtering af cybersikkerhedsrisici og -hændelser. Det opdaterede direktiv skærper kravene til nationale myndigheders tilsyn, harmoniserer sanktionsregimer og styrker informationsdeling samt deltagelse i cyberkrisehåndtering på tværs af EU.

Som MEP Bart Groothuis udtrykker det: "Ransomware og andre cybertrusler har hærget Europa alt for længe. Vi er nødt til at handle for at gøre vores virksomheder, myndigheder og samfund mere modstandsdygtige over for fjendtlige cyberangreb. Dette direktiv vil hjælpe omkring 160.000 organisationer med at styrke deres sikkerhed og gøre Europa til et trygt sted at leve og arbejde. Det vil også fremme informationsdeling med private aktører og internationale partnere. Når vi bliver angrebet i industriel skala, skal vi svare igen i industriel skala."

Hvad er status for lovgivningen?

Den 10. november 2022 blev direktivteksten vedtaget af Europa-Parlamentet med 577 stemmer for, 6 imod og 31 hverken for eller imod. Efter Parlamentets godkendelse blev NIS2 direktivet formelt vedtaget af Det Europæiske Råd formelle vedtagelse og offentliggjort i EU’s Tidende.

Herefter har medlemslandene 21 måneder til at omsætte NIS2 til national lovgivning. Deadline for dette var formelt den 17. oktober 2024.

NIS2-direktivet omfatter alle private virksomheder og offentlige organisationer og myndigheder, der beskæftiger sig med samfundskritisk infrastruktur, men alle bør gennemgå, om de er omfattet af de skærpede NIS2-krav til cybersikkerhed og hurtigst muligt tage initiativ til at udarbejde en plan for, hvilke organisatoriske, tekniske og økonomiske tiltag der skal iværksættes for at sikre compliance, hvis de er omfattet af de nye skærpede krav.

Hvis du har brug for rådgivning om, hvordan din virksomhed skal forholde sig til NIS2-direktivet eller DORA-forordningen, så tag kontakt til en af vores eksperter eller udfyld formularen herunder.