NIS2 forventes nu at omfatte alle landets kommuner

Nyt svar fra Ministeriet for Samfundssikkerhed og Beredskab

Ministeren fra Ministeriet for Samfundssikkerhed og Beredskab blev i forbindelse med behandlingen af lovforslaget til implementeringen af NIS2 bedt om at svare på, hvorfor muligheden i EU-direktivet om at omfatte kommuner såsom lokale eller regionale myndigheder ikke er blevet udnyttet i lovforslaget for NIS2, som er fremlagt den 5. juli 2024.

Men svaret lyder altså nu på, at kommunerne vil blive omfattet på lige fod med øvrige enheder, som er omfattet af loven:

”Som følge heraf kommer det til at fremgå af udkastet til NIS 2-lovforslag, som forventes fremsat den 6. februar 2025, at kommunerne – på lige fod med andre enheder, der er omfattet af lovens anvendelsesområde – ikke alene vil skulle træffe passende og forholdsmæssige foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer vedrørende de aktiviteter, der er oplistet i direktivets bilag, men for samtlige af de net- og informationssystemer, som de anvender til deres operationer, eller til at levere deres tjenester.”

Ministeriet for Samfundssikkerhed og Beredskab understreger, at forpligtelsen i NIS2-direktivets artikel 21, stk. 1, omfatter alle enheders operationer og tjenester og ikke kun specifikke it-aktiver eller kritiske tjenester. Formuleringen i direktivet dækker alle de net- og informationssystemer, som kommunerne anvender til deres operationer eller til at levere deres tjenester og ikke kun specifikke it-aktiver.

Hvad betyder det for kommunerne?

Kommunernes Landsforening (KL) har længe ønsket, at kommunerne bliver omfattet i sin helhed. Derudover ville en delvis omfattelse af NIS2 kunne give anledning til svære afgrænsningsproblematikker. Kommunerne udfører mange vigtige funktioner i samfundet, og digitalisering spiller en stor rolle. Det er derfor på mange punkter fornuftigt at få kommunerne omfattet helt.

Konkret betyder det, at kommunerne skal implementere NIS2, og derfor har de et større arbejde foran sig. Lovforslaget, der blev fremsat den 6. februar 2025, og som nu sendes til 1. behandling, har en ikrafttrædelsesdato den 1. juli 2025. Det betyder, at kommunerne får travlt.

NIS2 stiller krav om bl.a. ledelsesmæssig forankring, risikostyring og sikkerhedsforanstaltninger, samt en underretningsforpligtelse, som rækker videre end den, vi kender fra GDPR.

Ministeriet er i løbende dialog med KL og relevante myndigheder om de nærmere rammer for kommunernes overholdelse af NIS2-direktivets krav.

Lad HjulmandKaptains specialister give dig et godt fundament for overholdelsen af NIS2

Har du og din organisation brug for hjælp til at komme i gang med NIS2-arbejdet. Kontakt os og hør nærmere om, hvordan vi finder den rette løsning for din organisation.

HjulmandKaptain afholder et webinar om, hvordan du som kommune kan implementere NIS2-kravene. Tilmeld dig vores nyhedsbrev eller følg med under arrangementer, hvor vi snart offentliggør en dato.