Select your country

Not finding what you are looking for, select your country from our regional selector:

Search

NIS2-direktivet: Hvad er det, hvordan forbereder man sig, og hvilke sektorer er omfattet?

Den 13. maj 2022 vedtog Europa-Parlamentet og Det Europæiske Råd en foreløbig aftale om NIS2-direktivet, som skal sikre et højt og fælles cybersikkerhedsniveau i hele EU. Den 28. november blev den endelige tekst godkendt i Rådet. Direktivet blev offentliggjort i EU’s Tidende i midten af maj og trådte i kraft 20 dag efter offentliggørelsen. Herefter havde medlemslandene 21 måneder til at implementere direktivet i national lovgivning. I Danmark er NIS2-direktivet blevet behandlet af Folketinget. Behandlingen tog længere tid end forventet. Derfor er tidspunktet for implementeringen af NIS2-direktivet i dansk lovgivning blevet udsat flere gange. Lovgrundlaget er nu vedtaget og det træder i kraft i Danmark d. 1. juli 2025.

Hvad er formålet med NIS2?

NIS2-direktivet er et svar på Europas stigende udsathed over for cybertrusler. Det har til formål at styrke både den offentlige og private sektors robusthed og evne til at håndtere cyberhændelser – og dermed styrke hele EU’s cybersikkerhed. Ifølge Det Europæiske Råds pressemeddelelse har det reviderede direktiv til hensigt at fjerne forskelle i cybersikkerhedskrav og implementering på tværs af medlemslandene. Den første version af NIS-direktivet viste sig nemlig at være svær at implementere, hvilket førte til fragmentering på tværs af det indre marked.

For at imødekomme dette opstiller NIS2 minimumsregler for et reguleringsrammeværk og etablerer klare retningslinjer for effektivt samarbejde mellem relevante myndigheder i hvert medlemsland.

Hvad er nyt i NIS2?

Med NIS2 udvides direktivets anvendelsesområde, så flere sektorer bliver forpligtet til at styrke deres håndtering af cybersikkerhedsrisici og -hændelser. Det opdaterede direktiv skærper kravene til nationale myndigheders tilsyn, harmoniserer sanktionsregimer og styrker informationsdeling samt deltagelse i cyberkrisehåndtering på tværs af EU.

Som MEP Bart Groothuis udtrykker det: "Ransomware og andre cybertrusler har hærget Europa alt for længe. Vi er nødt til at handle for at gøre vores virksomheder, myndigheder og samfund mere modstandsdygtige over for fjendtlige cyberangreb. Dette direktiv vil hjælpe omkring 160.000 organisationer med at styrke deres sikkerhed og gøre Europa til et trygt sted at leve og arbejde. Det vil også fremme informationsdeling med private aktører og internationale partnere. Når vi bliver angrebet i industriel skala, skal vi svare igen i industriel skala."

Hvad er status for lovgivningen?

Den 10. november 2022 blev direktivteksten vedtaget af Europa-Parlamentet med 577 stemmer for, 6 imod og 31 hverken for eller imod. Efter Parlamentets godkendelse blev NIS2 direktivet formelt vedtaget af Det Europæiske Råd formelle vedtagelse og offentliggjort i EU’s Tidende.

Herefter har medlemslandene 21 måneder til at omsætte NIS2 til national lovgivning. Deadline for dette var formelt den 17. oktober 2024.

NIS2-direktivet omfatter alle private virksomheder og offentlige organisationer og myndigheder, der beskæftiger sig med samfundskritisk infrastruktur, men alle bør gennemgå, om de er omfattet af de skærpede NIS2-krav til cybersikkerhed og hurtigst muligt tage initiativ til at udarbejde en plan for, hvilke organisatoriske, tekniske og økonomiske tiltag der skal iværksættes for at sikre compliance, hvis de er omfattet af de nye skærpede krav.

Hvilke sektorer er omfattet?

Følgende sektorer er omfattet af NIS2:

  • Energi (el, olie, gas, fjernvarme og brint)
  • Transport (luftfart, jernbane, søfart og vejtransport)
  • Bankvæsen og finansielle infrastrukturer
  • Sundhed (herunder laboratorier og forskning i lægemidler og medicinsk udstyr)
  • Drikkevand og spildevand (hvis det er hovedaktiviteten)

 

  • Digital infrastruktur (telekommunikation, DNS, TLD, datacentre, tillidstjenester, cloudtjenester)
  • Digitale tjenester (søgemaskiner, online markedspladser, sociale medier)
  • Rumfart
  • Post- og kurertjenester
  • Affaldshåndtering
  • Kemikalier (produktion og distribution)
  • Fødevarer (produktion, forarbejdning og distribution)
  • Industriel produktion (især – men ikke udelukkende – medicinsk udstyr, computere og transportudstyr)

Hvordan kan Orange Cyberdefense hjælpe jer med NIS2-compliance?

Hos Orange Cyberdefense tilbyder vi rådgivning og audits, der hjælper alle typer virksomheder og organisationer på vej mod overholdelse af NIS2-direktivet. Vi kan vurdere, om I er omfattet af reglerne, hjælpe med at udarbejde en business case, opbygge et skræddersyet roadmap og assistere med implementeringen af de nødvendige løsninger og foranstaltninger.

Afhængigt af jeres cybersikkerhedsmæssige modenhed, er følgende områder centrale fokusområder:

  • Budgettering og udvikling af en cybersikkerhedsstrategi (f.eks. med ISO27001 som rammeværk)
  • Implementering af awareness-programmer
  • Optimering af håndtering af cyberhændelser
  • Forbedring af den tekniske sikkerhed (netværk, adgangskontrol m.m.)

Ved at arbejde med disse områder styrker I jeres modstandsdygtighed og sikrer overholdelse af NIS2-direktivet.

 

Et eksempel: Vandforsyningsvirksomheden Farys overholder allerede NIS-kravene og beskytter sit OT-netværk effektivt.

What did Farys do exactly to comply with the NIS Directive? 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.