NIS2 – Regulering for en mere sikker fremtid
NIS2 er det såkaldte EU-dækkende cybersikkerhedsdirektiv, som trådte i kraft i oktober 2024. Sammenlignet med NIS1 indfører NIS2 betydelige ændringer, som også vil pålægge flere organisationer strengere cybersikkerhedsforpligtelser. Medlemsstaterne skal vedtage nye bestemmelser, der indeholder disse strengere kontrol- og håndhævelsesforanstaltninger for at sikre overholdelse af direktivet. NIS2 erstatter NIS1-direktivet, hvilket resulterer i flere væsentlige forskelle i forhold til NIS1: NIS2 udvider anvendelsesområdet til større enheder, såsom producenter af kemisk og medicinsk udstyr, fødevareproducenter og udbydere af sociale netværk, som tidligere ikke var omfattet af NIS1. NIS2 erstatter sondringen mellem “operatør af væsentlige tjenester” og “udbyder af digitale tjenester” med “væsentlige enheder” og “kritiske enheder” baseret på bl.a. størrelse og sektor. Mens begge har lignende forpligtelser, er de centrale enheder underlagt strengere håndhævelses- og kontrolforanstaltninger. Den sektoransvarlige skal være ansvarlig for kontrolforanstaltningerne.
NIS2 pålægger “væsentlige” og “kritiske” enheder nye cybersikkerhedsforpligtelser, herunder risiko- og forsyningskædestyring, rapportering af cyberhændelser og informationsdeling. Overholdelse af disse krav vil kræve, at de berørte enheder udvikler og implementerer nye politikker og procedurer. NIS2 kræver, at EU’s medlemsstater forbedrer deres nationale cybersikkerhedsstrategier og reagerer på de digitale trusler, de står over for. Det er vigtigt for organisationer at holde sig ajour med medlemsstaternes fremtidige initiativer på dette område.
Forbedrede sikkerhedskrav
NIS2 vil forbedre virksomhedernes sikkerhedskrav ved at indføre en risikostyringsmetode og en minimumsliste over grundlæggende sikkerhedselementer. Direktivet indeholder også meget mere detaljerede bestemmelser om rapportering af hændelser, herunder f.eks. indholdet af og tidspunktet for rapporteringen. Ifølge direktivet skal indberetningen ske inden for 24 timer efter, at hændelsen er indtruffet, og den skal omfatte en mere detaljeret indberetningsproces. NIS2 kræver også, at man tager fat på sikkerheden i forsyningskæden. Dette omfatter også de risici, der er forbundet med sammålinger. NIS2 understreger også ledelsens ansvar for organisatorisk cybersikkerhed og placerer et individuelt ansvar hos styrende organer såsom bestyrelser og ledelse for at sikre effektiv implementering af cybersikkerhedskrav. Organisationer kan blive underlagt forskellige håndhævelsespåbud, og manglende overholdelse kan resultere i betydelige bøder.
