NIS2-direktivet

NIS2-direktivet (Network and Information Security Directive 2) er EU's opdaterede lovgivning om cybersikkerhed, der erstatter det oprindelige NIS-direktiv fra 2016. Direktivet trådte i kraft den 16. januar 2023 og skulle implementeres i national lovgivning inden den 17. oktober 2024.

Hvem er omfattet?

NIS2 udvider markant antallet af omfattede sektorer og organisationer:

Væsentlige enheder (essential entities): Energi, transport, bank, sundhed, drikkevand, digital infrastruktur, offentlig forvaltning, rumfart

Vigtige enheder (important entities): Post, affaldshåndtering, kemikalier, fødevarer, fremstilling, digitale udbydere, forskning

Organisationer med over 50 ansatte eller en omsætning over 10 mio. EUR i disse sektorer er typisk omfattet.

Krav til organisationer

NIS2 stiller specifikke krav inden for:

• Risikostyring: Risikovurderinger og passende sikkerhedsforanstaltninger
• Hændelseshåndtering: Indberetning af væsentlige hændelser inden 24 timer (tidlig advarsel), 72 timer (hændelsesnotifikation) og 1 måned (endelig rapport)
• Forsyningskædesikkerhed: Vurdering af risici fra leverandører og tjenesteudbydere
• Kryptering: Brug af kryptering og eventuel end-to-end-kryptering
• Ledelsesansvar: Topledelsen har personligt ansvar for compliance

Sanktioner

Bøder for manglende compliance kan være op til 10 mio. EUR eller 2% af den globale omsætning for væsentlige enheder, og 7 mio. EUR eller 1,4% for vigtige enheder.

NIS2 i Danmark

Danmark har implementeret NIS2 gennem sektorspecifik lovgivning. Center for Cybersikkerhed (CFCS) spiller en central rolle som koordinerende myndighed, mens de enkelte sektortilsyn varetager tilsynet inden for deres område.

For danske SMV'er kan NIS2 betyde nye compliance-krav, som kræver investering i cybersikkerhed, risikostyring og indberetningsprocedurer.