Når direktivet vedtages, vil der forløbe en implementeringsfrist på 21 måneder for medlemslandene. De enkelte medlemslande kan vælge at implementere reglerne på en måde, som medfører højere cybersikkerhedsniveau. NIS2 er en videreudvikling af NIS-direktivet om sikkerhed i net- og informationssystemer, som var den første EU-retsakt om cybersikkerhed, hvis formål var at styrke det generelle cybersikkerhedsniveau i EU.
NIS2 har til formål at ensrette og skærpe lovkravene til cyber- og informationssikkerhed på tværs af medlemslandene. Herunder at sikre et højt, fælles sikkerhedsniveau på tværs af den kommunikationsinfrastruktur og de it-systemer og services, som samfundet er afhængige af. Særligt kan det fremhæves, at NIS2 skærper forpligtelserne inden for områderne for risikostyring og rapportering. I denne sammenhæng tillægges myndighederne væsentligt styrkede tilsynsbeføjelser.
Nedenfor vil visse af ændringerne i NIS2 gennemgås:
NIS2 udvides til at omfatte flere sektorer
NIS2 omfatter væsentlig flere sektorer og private aktører end NIS-direktivet gjorde og skelner mellem væsentlige enheder (bilag I) og vigtige enheder (bilag II). Hvor NIS-direktivet omfattede bl.a. operatører af væsentlige tjenester, herunder energi, transport, finans, sundhed og drikkevand, kommer NIS2 til at omfatte sektorer og aktører der har vital betydning for både samfundsmæssige og økonomiske aktiviteter i det indre marked. Fødevaresektoren, spildevandssektoren, affaldssektoren, rumsektoren, datacenterleverandører og leverandører af sociale netværksplatforme er nu bl.a. omfattet af kravene som direktivet opstiller.
Mikroenheder og små enheder (virksomheder med færre end 50 ansatte eller med en årlig omsætning på under 10 millioner euro) er som udgangspunkt ikke omfattet af NIS2. Hertil følger dog nogle modifikationer, bl.a. at såfremt små enheder eller mikroenheder opfylder visse kriterier, som indikerer, at de spiller en central rolle for medlemsstaternes økonomi, samfund, bestemte sektorer eller typer af tjenesteydelser, vil disse alligevel være omfattet af direktivet.
Minimumskrav til risikohåndteringsforanstaltninger
I artikel 18 i NIS2 opstilles nu visse minimumskrav til risikohåndteringsforanstaltninger for de enkelte enheder omfattet af direktivet, som skal implementeres med henblik på at sikre harmonisering i EU-landene:
- politikker for risikoanalyse og informationssystemsikkerhed
- håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
- driftskontinuitet og krisestyring
- forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester
- sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
- politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
- brug af kryptografi og kryptering.
Alle enheder er underlagt de samme risikostyringskrav og rapporteringsforpligtelser, dog differentieres tilsyns- og sanktionsordningerne.
Væsentligt styrkede tilsynsbeføjelser og direkte ansvar for topledelsen
Ledelsesorganerne for de enheder, der er omfattet af NIS2 får til opgave at godkende foranstaltninger vedrørende cybersikkerhedsrisici og føre tilsyn med deres gennemførelse. Der opstilles hermed skærpede krav til ledelsen, da denne kan blive stillet direkte til ansvar for brud på NIS2.
NIS2 pålægger hver medlemsstat at indføre nationale rammer for styring af cybersikkerhedskriser. Dette indebærer, at hver medlemsstat skal udpege en eller flere kompetente myndigheder med ansvar for håndtering af væsentlige hændelser og kriser. Det er op til de individuelle medlemsstater at sikre, at de kompetente myndigheder har tilstrækkelige ressourcer til at udføre de opgaver, de pålægges. De kompetente myndigheder skal indgå i et tæt samarbejde med databeskyttelsesmyndigheder.
Tilsynsmyndighederne skal primært sikre, at kravene til sikkerhed og underretning om hændelser overholdes. Her skelnes der mellem en forudgående tilsynsordning for væsentlige enheder og en efterfølgende tilsynsordning for vigtige enheder.
Væsentlige bøder for overtrædelse
Slutningsvist er det værd at fremhæve, at der i NIS2 er lagt op til store bøder for overtrædelser. Som ovenfor nævnt skelnes der mellem hhv. vigtige og væsentlige enheder, der vurderes efter enhedens type og størrelse.
Ved bødeudmålingen kan de vigtige og væsentlige enheder risikere at blive pålagt bøder på op til 10.000.000 EUR eller op til to procent af den samlede globale årsomsætning.
EU’s initiativer inden for cybersikkerhed
Der er stigende interesse for cybersikkerhed, og der er flere retsakter på vej fra EU med krav til cybersikkerhed.
***
Kontakt Lundgrens' IT og Teknologi Team, hvis du har spørgsmål til det nye direktiv, herunder hvilken effekt det kan få for din virksomhed.
Forslaget til det nye direktiv kan læses her.
