05-12-2022

NIS 2 – EU's nye direktiv for bedre cybersikkerhed - er blevet godkendt

Direktivet er blevet endelig godkendt af EU-Kommissionen, og medlemsstaterne har nu 21 måneder til at indarbejde bestemmelserne i de nationale lovgivninger.

Nu har både EU-Parlamentet og EU-Kommissionen vedtaget NIS 2-direktivet, som skal forbedre niveauet for cybersikkerhed i hele EU. Danmark og de andre EU-lande har nu 21 måneder til at implementere direktivet i lovgivningen. Tanken er, at mange flere aktører skal kunne rammes, og at straffen vil kunne mærkes markant for dem, der overtræder direktivet.

Det nye NIS 2-direktiv skal erstatte de nuværende net- og informationssikkerhedsforordninger (NIS-direktivet). Tanken er, at den offentlige og private sektor og EU som helhed skal øge deres modstandsdygtighed og kapacitet til at håndtere hændelser.

Store bøder

NIS 2 medfører øgede forpligtelser vedrørende hændelseshåndtering, kryptering og afsløring af sårbarheder for både private virksomheder og offentlige instanser. EU-landenes tilsynsmyndigheder får udvidede muligheder for at pålægge sanktioner, hvis en aktør svigter sit arbejde. Sanktionerne kan komme helt op på 10 millioner euro eller to procent af den samlede omsætning.

Mere omfattende direktiver

Det oprindelige NIS-direktiv gælder inden for: sundhedspleje, digital infrastruktur, transport, energi, vandforsyning, digitale tjenesteudbydere og bank- og finansieringstransaktioner. NIS 2 omfatter også udbydere af offentlige elektroniske kommunikationsnetværk eller kommunikationstjenester, spildevand og affaldshåndtering, fremstilling af visse væsentlige produkter (f.eks. lægemidler, medicinsk udstyr og kemikalier), fødevarer og digitale tjenester (f.eks. sociale netværksplatforme og datacentertjenester), herunder sikkerhed.

Ifølge det gamle NIS-direktiv var det medlemslandene, der besluttede, hvilke enheder der opfyldte kriterierne for at blive betragtet som udbydere af socialt vigtige tjenester. Det nye NIS 2-direktiv introducerer en størrelsesbaseret generel regel for identifikation af regulerede enheder. Det betyder, at alle mellemstore og store virksomheder, der opererer i sektorerne eller leverer de tjenester, som er omfattet af direktivet, er omfattet af dets anvendelsesområde.

Endelig godkendelse

NIS 2 vil også gælde for offentlige forvaltninger på centralt og regionalt niveau. Derudover kan medlemslandene beslutte, at direktivet også skal gælde for sådanne enheder på lokalt plan.

- Uden tvivl er cybersikkerhed fortsat en central udfordring i de kommende år. Vores økonomier og borgere står over for enorme udfordringer. Vi har nu taget endnu et skridt for at forbedre vores evne til at imødegå denne trussel, siger Ivan Bartoš, Tjekkiets vicepremierminister med ansvar for digitalisering og minister for regional udvikling.