Hvad kan du forvente som virksomhed?

NIS2 direktivet er endeligt vedtaget i EU i november 2022. Ministeren for samfundssikkerhed og beredskab, Torsten Schack Pedersen, har d. 6. februar 2025 fremsat den danske NIS2-hovedlov, som vil være gældende for alle danske omfattet enheder pr. 1. juli 2025. Energi- og telesektoren er dog undtaget denne lov, da disse sektorer reguleres i særskilte sektorspecifikke bekendtgørelser. 

NIS2-hovedloven stiller skærpede krav indenfor følgende centrale områder:

• Risikostyring
• Hændelseshåndtering
• Driftskontinuitet
• Leverandørsikkerhed
• Myndighedsrapportering

Myndighederne får desuden væsentlige styrkede tilsynsbeføjelser, for at sikre at hovedloven, samt de sektorspecifikke bekendtgørelser, overholdes. Overholdes kravene ikke, kan myndighederne udstede diverse sanktioner, herunder krav om implementering af foranstaltninger, omfattende bøder, tvungne revisioner og sanktionering af ledelsen.

Hvorfor bliver NIS2 implementeret?

NIS2 er en efterkommer af et direktiv kaldet NIS1, som allerede har været gældende for flere virksomheder. NIS2 udvider kravene og sektorerne i forhold til det oprindelige NIS1. Formålet er at sikre et højt fælles niveau af cybersikkerhed på tværs af hele EU og skal ses som ét af værnene, mod det stigende cyber-trusselsbillede mod EU.

Konkret, skal direktivet højne sikkerheden af den infrastruktur, som sikrer samfundskritiske tjenester.

Hvis vi sammenligner NIS2 med GDPR, så blev GDPR direktivet implementeret 2018, med udgangspunkt i at beskytte personer i samfundet. NIS2 direktivet bliver implementeret med udgangspunkt i at beskytte samfundet generelt.

Forbered din organisation og ledelse – allerede nu

netIP ønsker, at vi lærer af den erfaring vi alle fik under implementering af GDPR tilbage i 2018.

Vi skal tage hovedloven alvorligt og begynde at arbejde med IT-sikkerheden allerede nu – både for at være på forkant, men også fordi arbejdet skaber værdi for din virksomhed, og giver ro i maven.  
De cyberkriminelle venter ikke på at en lovgivning træder i kraft, før de laver et potentielt angreb.

Du kan anvende netIPs guideline til it-sikkerhed som en start.     

Se hele skemaet med sikkerhedsniveauer HER

Derudover ved vi allerede nu, at NIS2 arbejder ud fra en risikobaseret tilgang til IT-sikkerheden.

Det betyder, at der stilles krav til, at du forholder dig til risici på tværs af hele organisationen, og identificerer dem, som er vigtigst, for at understøtte forretningens kontinuitet.

NIS2 kræver yderligere, at ledelsen på tværs af organisationen træder i karakter (og ikke kun i IT-afdelingen), og tager ansvar for virksomhedens IT-sikkerhedsniveau, godkender risici og sikrer at der bliver ført kontrol med de identificerede risici.

Dette kan du med fordel også allerede nu forberede din organisation og ledelsen på.