Hvad er NIS2, og hvilken betydning har det for din virksomhed?
I oktober 2024 skulle det omtalte EU-direktiv, NIS2, have været implementeret i Danmark. Dog har den danske regering meldt ud, at deadline for ikrafttrædelsen er blevet udskudt til den 1. juli 2025.
NIS2 kommer til at spille en betydelig rolle for flere virksomheder i Danmark, og flere kalder NIS2 for “det nye GDPR” – men hvad er NIS2 egentlig, og hvad har det af betydning for dig?
NIS2 er en forkortelse for Network and Information Security Directive og er en opdateret version af EU’s NIS-direktiv fra 2016 (heraf to-tallet).
Helt kort har NIS2 til formål at styrke og skabe et ensartet cybersikkerhedsniveau i EU’s medlemslande specifikt for kritiske sektorer, der bl.a. omfatter sundhed, energi, offentlige myndigheder, transport, finans, m.fl.
Således skal direktivet klæde europæiske virksomheder inden for de berørte sektorer bedre på til at modstå cyberangreb, som i dag udgør en stigende trussel for organisationer verden over.
NIS2-direktivet stiller altså strengere krav til virksomheders sikkerhed og risikostyring, og en overtrædelse heraf kan i sidste ende resultere i store bøder. Men hvad omfatter disse NIS2-krav egentlig?
Grundlæggende stiller NIS2 krav om, at virksomheder i kritiske sektorer skal implementere sikkerhedsforanstaltninger såsom risikostyring, adgangskontrol og hændelseshåndtering. Virksomheder skal rapportere større sikkerhedshændelser inden for fastsatte tidsrammer, forankre ansvaret for cybersikkerhed i ledelsen, afsætte tilstrækkelige ressourcer til formålet, sikre leverandørstyring og ikke mindst udføre regelmæssige interne audits.
Så langt så godt, men gælder NIS2 så også for dig og din virksomhed?
Til spørgsmålet om hvilke virksomheder og myndigheder, der er omfattet af kravene, skelnes der mellem ‘sektorer af særligt kritisk betydning’ og ‘andre kritiske sektorer’ i NIS2-direktivets bilag 1 og 2. Reglerne for de to typer sektorer er som udgangspunkt ens – forskellen findes nærmere i tilsynet med dem og de håndhævelsesmuligheder, der kan anvendes over for dem.
Det anslås, at omkring 2000 danske virksomheder og myndigheder vil være omfattet af NIS2, og din virksomhed er som udgangspunkt omfattet af NIS2, hvis I udfører aktiviteter inden for en eller flere af følgende sektorer:
For virksomheder, der arbejder inden for disse sektorer, er det afgørende at begynde arbejdet med at opfylde kravene til NIS2 for at undgå alvorlige konsekvenser, både økonomiske og sikkerhedsmæssige. Hvordan kommer man så i gang med forberedelserne til NIS2? Læs vores tjekliste til NIS2 her: