NIS2 er EU's reviderede direktiv om net- og informationssikkerhed. Direktivet hæver kravene til cybersikkerhed i kritiske og vigtige sektorer og afløser det tidligere NIS1-direktiv. NIS2 er implementeret i dansk ret som NIS 2-loven og placerer ansvaret for cybersikkerhed direkte hos ledelsen i de omfattede organisationer.
Hvad er NIS2?
NIS2 (Directive (EU) 2022/2555) er et EU-direktiv, der skal sikre et højere og mere ensartet niveau af cybersikkerhed på tværs af medlemslandene. Direktivet udvider rammen fra det tidligere NIS1-direktiv med flere sektorer, klarere krav og stærkere tilsyn.
Formålet er, at samfundskritiske tjenester kan opretholdes, også når organisationen er under cyberangreb. NIS2 stiller derfor krav til risikostyring, hændelsesrapportering, forsyningskædesikkerhed og forretningskontinuitet. I Danmark koordineres tilsynet af Styrelsen for Samfundssikkerhed sammen med sektorspecifikke myndigheder.
Hvem er omfattet af NIS2?
NIS2 omfatter både private virksomheder og offentlige myndigheder i en lang række samfundskritiske og vigtige sektorer, herunder energi, transport, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig administration, fødevarer og dele af industrien.
Loven sondrer mellem væsentlige og vigtige enheder, og udgangspunktet er, at mellemstore og store virksomheder i de omfattede sektorer er dækket. Myndighederne udpeger ikke enhederne. Det er virksomhedens eget ansvar at vurdere, om den er omfattet, og at registrere sig hos den relevante myndighed.
Hvilke krav stiller NIS2?
NIS2 kræver, at omfattede organisationer indfører tekniske og organisatoriske foranstaltninger, der står i forhold til deres risikobillede. Det omfatter testede beredskabs- og kontinuitetsplaner, klare roller og ansvar samt dokumenterede procedurer for hændelsesrapportering.
Ledelsen skal godkende risikohåndteringsforanstaltningerne, deltage i uddannelse i cybersikkerhed og kan holdes ansvarlig, hvis pligterne forsømmes. Manglende efterlevelse kan udløse bøder på op til 10 millioner euro eller 2 procent af den globale årlige omsætning.
NIRAS rådgiver om NIS2-compliance som en del af konceptet Risk to resilience, der binder lovkrav, risikostyring, beredskab og forretningskontinuitet sammen.
Ofte stillede spørgsmål om NIS2
Hvad er forskellen på NIS2 og NIS1?
NIS2 afløser NIS1 fra 2016. NIS2 dækker flere sektorer, stiller skarpere krav til risikostyring og hændelsesrapportering, indfører direkte ledelsesansvar og giver myndighederne stærkere tilsyns- og sanktionsmuligheder.
Hvordan ved man, om man er omfattet af NIS2?
Det afhænger af, hvilken sektor virksomheden opererer i, og af dens størrelse. Myndighederne udpeger ikke enhederne, så virksomheden skal selv vurdere det. Værktøjet NIS2-tjek på sikkerdigital.dk kan bruges som første afklaring.
Hvad er forskellen på væsentlige og vigtige enheder?
NIS2 inddeler omfattede organisationer i væsentlige og vigtige enheder. Inddelingen afhænger af sektor og størrelse og afgør blandt andet, om virksomheden er underlagt løbende tilsyn eller tilsyn efter en konkret anledning.
Hvad koster det at overtræde NIS2?
Manglende efterlevelse af NIS 2-loven kan udløse bøder på op til 10 millioner euro eller 2 procent af den globale årlige omsætning, alt efter hvad der er størst. Ledelsen kan desuden holdes personligt ansvarlig.
Hvad er forskellen på NIS2 og CER?
NIS2 dækker cybersikkerhed og digital modstandsdygtighed. CER er et søsterdirektiv, der dækker fysisk modstandsdygtighed hos kritiske enheder. Mange organisationer er omfattet af begge regelsæt.
