Det nye NIS 2-direktivet vil erstatte dagens nett- og informasjonssikkerhetsregler (NIS-direktivet). Tanken er at offentlig og privat sektor, og unionen som helhet, skal øke sin motstandskraft og sin kapasitet til å håndtere hendelser.

Høye straffegebyr
NIS 2 betyr økt forpliktelse til håndtering av hendelser, kryptering og avsløring av sårbarheter for mange private og offentlige virksomheter. EU-landenes tilsynsmyndigheter får økte muligheter til å ilegge sanksjoner dersom en aktør svikter i sitt arbeid. Sanksjonene skal være på maksimalt 10 millioner euro eller 2 prosent av den totale omsetningen.

Mer omfattende direktiver
Det opprinnelige NIS-direktivet gjelder innen: helsetjenester, digital infrastruktur, transport, energi, vannforsyning, digitale tjenesteleverandører og bank- og finansieringsbevegelser. NIS 2 inkluderer også leverandører av offentlige elektroniske kommunikasjonsnettverk eller kommunikasjonstjenester, avløpsvann og avfallshåndtering, produksjon av visse essensielle produkter (for eksempel legemidler, medisinsk utstyr og kjemikalier), mat og digitale tjenester (for eksempel sosiale nettverksplattformer og datasentertjenester) inkludert sikkerhet.

Generell regel for identifikasjon av regulerte enheter.
Etter det gamle NIS-direktivet var det medlemslandene som bestemte hvilke enheter som oppfylte kriteriene for å regnes som tilbydere av samfunnsviktige tjenester. Det nye NIS 2-direktivet innfører en størrelsesbasert generell regel for identifikasjon av regulerte enheter. Dette betyr at alle mellomstore og store virksomheter som opererer i sektorene eller leverer tjenestene som omfattes av direktivet er omfattet av dets virkeområde.

Endelig godkjenning av EU-rådet
NIS 2 vil også gjelde for offentlige forvaltninger på sentralt og regionalt nivå. I tillegg kan medlemslandene bestemme at direktivet også skal gjelde for slike enheter på lokalt nivå.

– Uten tvil er cybersikkerhet fortsatt en sentral utfordring i årene som kommer. Våre økonomier og innbyggere står overfor enorme utfordringer. Vi har nå tatt et nytt skritt for å forbedre vår evne til å motvirke denne trusselen, sier Ivan Bartoš, Tsjekkias visestatsminister med ansvar for digitalisering og minister for regional utvikling.

Direktivet ble vedtatt av EU-parlamentet 10. november og har nå fått endelig godkjenning fra EU-rådet. Medlemslandene har 21 måneder fra ikrafttredelsen av direktivet til å innlemme bestemmelsene i sin nasjonale lovgivning.