NIS2-direktivet bygger videre på det oprindelige Net- og Informationssikkerhedsdirektiv fra 2016 – også kendt som NIS-direktivet. Med NIS2 introduceres skærpede krav og forpligtelser for de berørte organisationer samtidig med, at dets anvendelsesområde udvides til at omfatte yderligere sektorer.
Er din organisation omfattet af NIS2, skal I pr. 1. juli 2025 være i stand til at dokumentere jeres efterlevelse af direktivets krav.
Med NIS2-direktivet skal europæiske virksomheder og offentlige myndigheder i højere grad indrette deres drift i lyset af den digitale tidsalders stigende risici for cybertrusler.
Beskyttelseshensynet er samfundsinteressen forbundet med virksomhedernes og samfundsinstitutionernes generelle modstandsdygtighed, og fokus bør ligge ved de cybertrusler, der måtte true den enkelte organisations driftskontinuitet.
Cybertrusler kommer i mange former og er ikke kun begrænset til ondsindede hackerangreb. Således skal den enkelte organisation forholde sig til alle relevante trusler, hvilke både kan være båret af medarbejdere, leverandører, tekniske eller miljømæssige forhold.
Medarbejdere kan utilsigtet introducere trusler gennem fejl eller uagtsomhed, leverandører kan bære risici via kompromitterede systemer, tekniske forhold, såsom forældet software, kan udgøre svagheder i IT-sikkerheden, og endelig kan miljømæssige forhold, såsom naturkatastrofer, påvirke IT-infrastrukturen og skabe trusler.
Derfor indeholder NIS2 krav om, at omfattede organisationer agerer risikobaseret og proaktivt i forhold til at imødegå sådanne trusler i sine net- og informationssystemer. Det skal i meget bred forstand forstås som den kritiske digitale og tekniske understøttelse af driften.
Det inkluderer blandt andet:
Den kritiske understøttelse af driften gennem organisationens netværk og digitale infrastruktur, herunder IT, OT og andre tekniske enheder
Applikationslaget, som er sårbart over for cybertrusler
Maskiner, robotter, controllere og PLC’ere, der er kritiske for driften
Styringsenheder, der bringer organisationen inden for anvendelsesområdet af NIS2.
NIS2-direktivet kræver, at ovenstående skal være omfattet af passende værn og foranstaltninger mod relevante cybertrusler. En forudsætning for at opfylde dette krav er blandt andet et fyldestgørende overblik over relevante aktiver, der er kritiske for driften, samt en effektiv risikostyring.
NIS2-direktivet repræsenterer en evolution af forståelsen for, hvad der udgør samfundskritisk infrastruktur. Med udvidelsen har man erkendt, at mange af vores moderne samfundsfunktioner er stærkt afhængige af en række sektorer og forsyningskæder, der tidligere ikke blev anset for at være kritiske. Den hurtige teknologiske udvikling kommer med nye cybertrusler, og derfor er skellet mellem, hvem der er omfattet af NIS2, og hvem der ikke er, blevet mere nuanceret.
Det kan virke uoverskueligt at navigere i, hvorvidt man er omfattet af NIS2-kravene – særligt for mindre eller nye organisationer. Som en generel huskeregel kan man dog forvente, at følgende sektorer vil være omfattet af NIS2-direktivet:
Organisationer, der er omfattet af NIS2, er af gode grunde afhængige af deres leverandører og samarbejdspartnere i en lang række sammenhænge, herunder også i forhold til at afværge, at cyberrisici ikke adopteres gennem forsyningskæden.
Som leverandør eller partner i forsyningskæder bestående af NIS2-omfattede organisationer kan man forvente øgede krav til produkter og tjenester. Dertil kommer strammere kontraktlige forpligtelser vedrørende dokumentation, ansvar og løbende auditering.
Den afsmittende effekt på forsynings- og leverandørkæder betyder, at NIS2-direktivet rent kommercielt får en noget længere rækkevidde end blot de omfattede sektorer.
For leverandører, der leverer produkter og tjenester til enheder omfattet af NIS2-kravene, bliver cybersikkerhed et væsentligt konkurrenceparameter, som vil have tilsvarende høj opmærksomhed hos kunderne.
Organisationer omfattet af NIS2 er pålagt bestemte krav. Disse krav kan have kommercielle konsekvenser for leverandører af tilknyttede produkter og tjenester, især hvis aspekter af samarbejdet eller de leverede ydelser potentielt kan medføre risici for den pågældende organisation.
For eksempel: Hvis en leverandør tilbyder software, som direkte integreres i en NIS2-omfattet organisations systemer, kan eventuelle sikkerhedssvagheder i denne software udgøre en risiko for hele organisationen. Som følge heraf kan NIS2-omfattede organisationer vælge at indføre strengere kontraktlige krav, sikkerhedsrevisioner eller endda certificeringer for at sikre, at de leverandører, de arbejder med, overholder nødvendige sikkerhedsstandarder.
Derudover kan omfattede organisationer også forlange løbende rapportering, opdateringer og forbedringer for at sikre, at de produkter og tjenester, de modtager, konstant fornyes i takt med den skiftende trusselssituation. Dette betyder, at selvom en leverandør ikke direkte er underlagt NIS2-kravene, kan deres relationer med NIS2-omfattede organisationer påvirker deres arbejdsprocesser, kravene til produkter og tjenester, samt deres forpligtelser over for kunderne.
Virksomheder, der er omfattet af NIS2-direktivet, har et kædeansvar i forhold til deres forsynings- eller leverandørkæder. I NIS2-kontekst betyder det, at organisationer ikke kun skal sikre deres eget netværk og system, men også skal tage hensyn til sikkerheden i de produkter og tjenester, de køber fra en tredjepart.
Kædeansvaret i NIS2 betyder blandt andet, at du som omfattet organisation ikke kan frasige dig ansvaret ved at outsource dele af driften til eksterne parter, og at din organisation er forpligtet til gennem kontrakt- og leverandørstyring, herunder løbende kontrol, at forholde sig til risikoen forbundet med de enkelte leverandører.
Dette kan indebære, at en organisation skal stille specifikke sikkerhedskrav til deres leverandører, overvåge overholdelsen af disse krav og muligvis revidere leverandørens praksis for at sikre, at de lever op til organisationens sikkerhedsstandarder.
Virksomheder, som i henhold til EU-Kommissionens SMV-grænser udgør enten mikrovirksomheder eller små virksomheder, er som udgangspunkt undtaget fra NIS2. Herunder hører virksomheder, som beskæftiger under 50 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 10 mio. EUR. Denne opgørelse skal foretages på koncernniveau.
Virksomheder, som beskæftiger sig med følgende aktiviteter, vil dog altid være omfattet af NIS2-direktivet uanset størrelse:
Det er op til de enkelte EU-lande at beslutte, om kommuner skal være omfattet af reglerne.
De mange kommunale opgaver og den stigende digitalisering taler for, at kommuner bliver omfattet af NIS2-direktivet. Nærmere afklaring følger i takt med den danske implementering af NIS2.
Læs hele loven her:
Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven)
Carl Jacobsens Vej 20, 3.sal 2500 Valby
CVR: 25337433
