Digitaliseringen udvikler sig hurtigt, men med den følger også en stigende cybertrussel. For at styrke cybersikkerheden i EU har Forsvarsministeriet sendt et lovforslag i høring, der skal implementere NIS2-direktivet (Net- og Informationssikkerhedsdirektiv 2). Dette direktiv vil få stor betydning for ledelsen i danske virksomheder.
Formålet med NIS2
NIS2-direktivet har til formål at styrke cybersikkerheden i hele EU. Direktivet skal sikre, at net- og informationssystemer i medlemslandene er robuste og sikre, og dermed skabe et højt fælles niveau for cybersikkerhed i EU.
Hvad indeholder lovforslaget?
For at implementere NIS2 i dansk lovgivning skal de omfattede virksonheder træffe de nødvendige foranstaltninger for at beskytte deres net- og informationssystemer. Dette omfatter bl.a. risikoanalyse, håndtering af hændelser, driftskontinuitet og sikkerhed i forsyningskæder. Derudover skal virksomhederne sørge for uddannelse i cybersikkerhed, implementere grundlæggende sikkerhedspraksis og anvende kryptografi.
Ledelsens ansvar
NIS2 medfører også udvidede tilsyns- og sanktionsmuligheder. Hvis virksomheden ikke overholder direktivet, kan den blive pålagt at offentliggøre overtrædelserne eller modtage store bøder – helt op til 75 mio. kr. eller 2% af virksomhedens omsætning. Direktivet indebærer også, at ledelsen kan blive suspenderet og holdt personligt ansvarlig for manglende overholdelse af NIS2.
Krav til kurser og uddannelse
NIS2 kræver, at ledelsen aktivt arbejder med cybersikkerhed. Det betyder, at ledelsen regelmæssigt skal gennemføre kurser, der gør dem i stand til at identificere og vurdere cybersikkerhedsrisici. Medarbejdere skal også opfordres til at deltage i relevante uddannelser. Formålet er at kunne identificere potentielle trusler og tage nødvendige forholdsregler, især i områder med højere risiko.
Øget tilsyn fra ledelsen
Den øverste ledelsen skal stå inde for alle beslutninger relateret til NIS2 og godkende de sikkerhedsforanstaltninger, der implementeres. Det er ikke nyt, at ledelsen bærer ansvaret, men NIS2 gør det klart, at ledelsen kan holdes personligt ansvarlig for manglende IT-sikkerhed.
Ikrafttræden
Hvis lovforslaget vedtages, træder det i kraft den 1. marts 2025.
Hvordan kan DreistStorgaard hjælpe?
Hos DreistStorgaard følger vi udviklingen nøje, så vi kan rådgive din virksomhed om de kommende ændringer. Kontakt advokat og partner Dan Jordy eller advokatfuldmægtig Katrine Purhus for rådgivning om, hvordan NIS2 kan påvirke din organisation.