Forsvarsministeriet har sendt forslag til ”Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau” i høring. Lovforslaget er fremsat med det formål at implementere Net- og Informationssikkerhedsdirektivet 2 (herefter kaldet NIS2-direktivet). Høringsfristen er 22. august 2024 kl. 12.
Formålet med NIS2
Formålet med NIS2-direktivet (Net- og Informationssikkerhedsdirektivet), der blev vedtaget den 14. december 2022, er at styrke cybersikkerheden i EU. Direktivet skal forbedre modstandsdygtigheden og sikkerheden af net- og informationssystemer på tværs af medlemslandene og sikre et højt fælles cybersikkerhedsniveau i EU.
NIS2: En opgradering af NIS1
NIS2 erstatter det tidligere NIS1-direktiv og omfatter flere myndigheder, virksomheder og organisationer. Målet er at skabe klarhed over de krav, der stilles til de berørte aktører, og dermed sikre bedre overholdelse af sikkerhedsforanstaltningerne.
NIS2 kræver, at medlemsstaterne vedtager nationale cybersikkerhedsstrategier og udpeger relevante myndigheder, såsom CSIRT’er (enheder, der håndterer IT-sikkerhedshændelser), til at håndtere cybersikkerhedsrisici og rapporteringsforpligtelser. Direktivet fastlægger også regler for udveksling af cybersikkerhedsoplysninger og tilsynsforpligtelser.
Indholdet af lovforslaget
For at implementere NIS2-direktivet i dansk lovgivning skal omfattede aktører træffe passende foranstaltninger for at styre risici for sikkerheden i deres net- og informationssystemer. De skal blandt andet overholde politikker for risikoanalyse, hændelseshåndtering, driftskontinuitet, krisestyring og forsyningskædesikkerhed.
Aktørerne skal også vurdere effektiviteten af deres cybersikkerhedsforanstaltninger og implementere grundlæggende cyberhygiejnepraksisser, cybersikkerhedsuddannelse og kryptografiske metoder. Oplistningen er ikke udtømmende.
Hvem er omfattet?
NIS2 omfatter offentlige og private enheder i forskellige ”særligt kritiske” og ”andre kritiske” sektorer.
For at være omfattet skal en aktør beskæftige mindst 50 personer og have en årlig omsætning eller samlet balance på over 10 mio. euro. Visse aktører kan dog være omfattet, selvom de ikke opfylder disse kriterier, hvis de leverer væsentlige tjenester, der kan påvirke offentlig sikkerhed eller folkesundhed. Oplistningen af undtagelser til størrelseskravet er ikke udtømmende.
Kritiske sektorer under NIS2 inkluderer:
- Transportsektoren
- Sundhedssektoren
- Drikke- og spildevandssektoren
- Digital infrastruktur
- Offentlig forvaltning
- Kommunikationstjenester
- Post- og kurertjenester
- Affaldshåndtering
- Fremstilling og distribution af kemikalier og fødevarer
- Produktion af medicinsk udstyr
- Forskning og fremstilling af elektroniske produkter
Loven gælder ikke for enheder i energisektoren.
Ikrafttræden
Hvis lovforslaget vedtages, træder det i kraft den 1. marts 2025.
Hvordan kan DreistStorgaard hjælpe?
Hos DreistStorgaard følger vi udviklingen tæt, så vi kan rådgive din virksomhed om de kommende ændringer og justeringer. Kontakt advokat og partner Dan Jordy eller advokatfuldmægtig Katrine Purhus for rådgivning om, hvordan vedtagelsen af lovforslaget vil påvirke din organisation.