Lovforslaget, der skal implementere NIS2, er landet. Er du klar?

Nyhed

12.07.2024

Det har været længe ventet, og nu er det her. Forsvarsministeriet har sendt lovforslaget til implementering af NIS2 i høring med en frist den 23. august 2024.

Lovforslaget indeholder en minimumsimplementering af NIS2-direktivet, og rummer ikke de store overraskelser.

Den største overraskelse er dog, at loven først skal træde i kraft den 1. marts 2025.

Direktivet har nemlig den 18. oktober 2024 som startdato. Men Forsvarsministeren har tidligere oplyst, at der ville være en forsinkelse i Danmark, og at NIS2 derfor først ville træde i kraft den 1. januar 2025. Men nu er datoen altså rykket yderligere til den 1. marts 2025

Hvad er NIS2, og hvem er omfattet af de nye krav?

NIS2 er EU-regler, der skal sikre et ensartet og højt cybersikkerhedsniveau i hele EU.

Truslen fra cyberkriminelle har aldrig været større, og derfor er der et politisk ønske om, at både den private og offentlige sektor styrker deres cyberforsvar, så samfundshjulene kan blive ved med at rulle.

Cyberangreb har nemlig potentiel stor skadevirkning, der kan lamme store dele af et samfund. Derfor er alle kritiske sektorer, som f.eks. energi, transport, sundhed, drikkevand og digital infrastruktur omfattet.

NIS2 indeholder krav, men ikke en fuldstændig guide til efterlevelse

Der vil ikke blive oprette én samlet myndighed, der skal føre tilsyn og håndhæve reglerne i Danmark.

Derimod skal der oprettes en såkaldt kompetent myndighed for hver sektor, der er omfattet af loven. Disse myndigheder får til opgave at fastsætte nærmere regler for den enkelte sektor.

Men lovforslaget indeholder ikke en udtømmende guide til, hvilke krav virksomheder og offentlige myndigheder skal efterleve. Kravene fremgår i stedet som overordnede krav, der på et senere tidspunkt vil blive beskrevet mere detaljerer i bekendtgørelser.

Formålet med at overlade fastsættelsen af de nærmere krav til de enkelte sektorer er at sikre, at der tages hensyn til særlige forhold i en sektor, og at kravene dermed er tilpasset risikobilledet i den enkelte sektor.

Loven skal dermed sikre, at virksomheder ikke pålægges strengere krav end nødvendigt - men det fritager ikke den enkelte virksomhed fra at opfylde de minimumskrav, der fremgår af loven.

De nye krav gør ledelsen personligt ansvarlige

NIS2 stiller en lang række krav til organisationerne, bl.a. krav til politikker til at styre cybersikkerheden.

NIS2 stiller desuden krav til ledelsen af en organisation, der er defineret i lovforslaget som ”på niveau med administrerende direktør-niveau eller den juridiske repræsentant”.

Ledelsen har fremover pligt til at godkende virksomhedens cybersikkerheds-foranstaltninger og sikre, at foranstaltningerne har tilstrækkelig effekt.

Det betyder, at ledelsen rykker helt ind for bordenden i virksomhedens arbejde med cybersikkerhed, og ledelsen har derfor også pligt til at deltage i kurser om cybersikkerhed – på samme måde kan ledelsen personligt forbydes at udøve ledelsesfunktioner i virksomheden midlertidigt, hvis NIS2 ikke efterleves.

Hvad er det videre forløb?

Lovforslaget vil blive behandlet, når Folketinget igen træder sammen i oktober. Herefter får vi den endelige lov, som efter planen træder i kraft den 1. marts 2025.