NIS2-direktivet: Hvad er det, og hvem er omfattet?

9 min read Skrevet af
EU’s NIS2-direktiv kommer med en række skærpede krav omkring en lang række virksomheders cybersikkerhed. Læs om kravene, og om din virksomhed bliver ramt af dem.
featured-image
NIS2-direktivet: Hvad er det, og hvem er omfattet? | Pleo Blog
15:35
CFO'ens guide til 2025
DA_Report pages-1
Få indsigt fra mere end 3.000 virksomhedsledere i hele Europa

NIS2-direktivet banker snart på døren, og det er noget, vi ikke kan komme udenom. EU's medlemslande har nemlig taget en beslutning om en ny udgave af Net- og Informationssikkerhedsdirektivet – eller NIS2, som det mere mundret kaldes. 

Det betyder, at landene har haft indtil den 17. oktober 2024 til at integrere dette nye direktiv i deres egne love. Den danske proces er dog forsinket, men mere om det senere.

Inden vi når dertil, må vi besvare de vigtige spørgsmål: Hvad NIS2-direktivet helt præcist, og hvordan kan det påvirke din virksomhed?

Det er netop, hvad vi vil prøve at forklare i denne artikel. Så ønsker du at blive klogere på NIS2-direktivet, er du kommet til det helt rette sted.

  • NIS2-direktivet er en opdatering af EU's regler for cybersikkerhed, der stiller strengere krav til både offentlige og private organisationer inden for kritiske sektorer og gør ledelsen direkte ansvarlig for overtrædelser.

  • Direktivet omfatter langt flere sektorer end tidligere og inddeler virksomheder i "væsentlige" og "vigtige" enheder med krav om risikostyring, hændelseshåndtering og rapportering, der tilpasses virksomhedens betydning for samfundet.

  • Implementeringen af NIS2 i Danmark er forsinket og forventes at træde i kraft 1. juli 2025; virksomheder bør dog allerede nu vurdere deres beredskab og forberede sig på de kommende krav gennem risikovurderinger og planlægning.

Hvad er NIS2-direktivet: Cybersikkerhedens næste kapitel

NIS2-direktivet er en opdatering af EU's tidligere regler for netværks- og informationssikkerhed (NIS1). 

Formålet med NIS2 er kort sagt at styrke cybersikkerheden i hele EU ved at indføre fælles standarder og krav. 

Direktivet udvider nu sin rækkevidde til at omfatte flere sektorer og stiller strengere krav til både offentlige og private organisationer, der leverer kritiske tjenester i samfundet. Samtidig kommer det nye NIS2-direktiv også med muligheden for at stille ledelsen direkte ansvarlig i tilfælde af overtrædelser af lovgivningen.

NIS2 er som nævnt en opdatering af den tidligere NIS1, der blev vedtaget af EU's medlemslande i 2016. Selvom NIS1 førte til betydelige forbedringer og fremskridt i EU's samlede modstandsdygtighed over for cybertrusler, er det med tiden blevet klart, at der er behov for endnu stærkere og mere ensartede sikkerhedsforanstaltninger på tværs af EU. 

Derfor blev NIS2-direktivet foreslået for at opdatere og skærpe reglerne yderligere.

Hvem er omfattet af NIS2-direktivet?

Som nævnt er en af de store ændringer ved det nye NIS2-direktiv, at langt flere virksomheder og organisationer (i direktivet kaldet “enheder”) nu skal stige på det store cybersikkerheds-tog.

Det er i udgangspunktet offentlige og private enheder, der kategoriseres som "væsentlige enheder" eller "vigtige enheder", der skal være sikre på, at de får indløst billetten.

Men hvad dækker "væsentlige enheder" og "vigtige enheder" så over?

Begrebet "væsentlige enheder" omfatter offentlige og private enheder inden for følgende sektorer:

  • Energi (elektricitet, fjernvarme, olie, gas og brint)
  • Transport (luft, jernbane, vand og vej)
  • Bankvirksomhed (kreditinstitutter)
  • Finansielle markedsinfrastrukturer (markedspladser)
  • Sundhedssektoren (sundhedstjenesteydere og producenter af lægemidler mv.)
  • Drikke- og spildevand
  • Digital infrastruktur (bl.a. udbydere af cloud-ydelser, datacentre, domænenavnssystemer (DNS), topdomæneregistre (TLD) og offentlige kommunikationsnet)
  • Informations- og kommunikationstjenesteudbydere (ICT-services)
  • Udbydere af managed services og managed security services
  • Offentlig forvaltning (undtagen Folketinget, domstolene og Nationalbanken)
  • Rummet (operatører af jordbaseret infrastruktur)

Begrebet "vigtige enheder" omfatter offentlige og private enheder inden for:

  • Post- og kurertjenester
  • Affaldshåndtering
  • Fremstilling, produktion og distribution af kemikalier
  • Fremstilling, bearbejdning og distribution af fødevarer
  • Fremstilling af bl.a. elektronik, maskiner og motorkøretøjer
  • Udbydere af visse digitale tjenester (online markedspladser og søgemaskiner samt sociale netværkstjenester)
  • Forskning (højere læreanstalter og forskningsinstitutioner)

Se den komplette liste her.

NIS2-direktivet
 

Forskel mellem "væsentlige" og "vigtige" enheder

Direktivet skelner som nævnt mellem "væsentlige" og "vigtige" enheder, og den skelnen baseres primært på sektorens kritikalitet og virksomhedens størrelse:

  • Væsentlige enheder: Typisk store virksomheder i sektorer af særlig kritisk betydning, såsom energi, transport og sundhed. Disse enheder er underlagt strengere tilsyn og strengere sanktioner ved manglende overholdelse af direktivets krav.

  • Vigtige enheder: Virksomheder i andre kritiske sektorer, som stadig har en betydelig rolle i samfundets funktion, men hvor tilsynet er mindre intensivt sammenlignet med væsentlige enheder. Sanktionerne for manglende overholdelse er også mindre strenge end for væsentlige enheder.

Denne differentiering sikrer, at tilsyn og krav er proportionale med enhedens betydning for samfundets kritiske infrastruktur og tjenester.

Det er vigtigt for virksomheder at vurdere, om de falder ind under en af disse kategorier, da det afgør de specifikke krav og forpligtelser, de skal opfylde under NIS2-direktivet.

Hvem slipper for NIS2-direktivet?

Selvom langt flere virksomheder sammenlignet med det første NIS-direktiv nu inkluderes i NIS2, er der stadig nogle virksomheder, der fritages for direktivets regler og sanktioner – selvom de kategoriseres som "væsentlige enheder" eller "vigtige enheder".

Forvirret?

Det kan vi godt forstå. Men lad os prøve at bryde det ned.

Først og fremmest har EU’s medlemslande mulighed for at undtage enheder inden for forsvar, national sikkerhed og retshåndhævelse fra NIS2. Men derudover gælder det, at mikrovirksomheder og små virksomheder i udgangspunktet ikke er omfattet af NIS2-direktivet – uanset hvilken kategorisering de har. 

Mikrovirksomheder og små virksomheder er defineret ved, at de har under 50 ansatte og en samlet årlig balance eller årlig omsætning på under 10 millioner euro.

Igen er der dog en undtagelse. For hvis disse mikrovirksomheder og små virksomheder hører under en af følgende brancher, er de alligevel omfattet af NIS2-direktivet på trods af deres størrelse. 

Det gælder for virksomheder i følgende brancher:

  • Udbydere af offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester
  • Tillidstjenesteudbydere (valideringstjenester)
  • Udbydere af topdomænenavneregistre (TLD) og domænenavnssystemer (DNS)
  • Enheder, der er eneudbydere af en ydelse i en medlemsstat, som er væsentlig for vedligeholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter
  • Enheder, der leverer ydelser, som er kritiske for samfundet, offentligheden eller en konkret sektor

Hvilke krav stiller NIS2 til din organisation?

Hvis din virksomhed er ny i “NIS-regi”, er du sikkert meget interesseret i at høre mere om, hvilke krav der helt lavpraktisk er for din virksomhed. Men selv hvis man sidder i en virksomhed, som også har været berørt af det tidligere NIS-direktiv, bør man spidse ører. 

For udover at langt flere virksomheder nu bliver berørt af direktivet, kommer direktivet også med flere og skrappere krav.

Med henblik på at styrke Europas modstandsdygtighed mod nuværende og fremtidige cybertrusler introducerer NIS2-direktivet nemlig nye krav og forpligtelser for organisationer inden for fire overordnede områder: risikostyring, ledelse, rapporteringsforpligtelser og forretningskontinuitet.

Det betyder helt konkret:

Ledelsen i din virksomhed har nu et direkte ansvar for cybersikkerheden. De skal forstå NIS2-direktivets krav og aktivt arbejde med risikostyring. Det betyder, at de skal identificere og håndtere cyberrisici samt sikre, at alle krav overholdes.

Der er stigende krav til risikostyring og robusthed. Din virksomhed skal derfor implementere foranstaltninger, der forebygger og begrænser skader. 

Det kan f.eks. inkludere effektiv hændelseshåndtering, sikring af it-sikkerhed i hele forsyningskæden samt beskyttelse af netværk gennem adgangskontrol og kryptering.

Forretningskontinuitet er også en nøgleprioritet. Din virksomhed skal være forberedt på at håndtere større cyberhændelser og sikre, at driften kan fortsætte. Dette indebærer at have planer for systemgenopretning, nødprocedurer og en agil kriseorganisation.

Der er også skærpede krav til rapportering til myndighederne. NIS2-direktivet kræver korrekt og hurtig rapportering af større hændelser inden for 24 timer efter opdagelsen. Derfor er det essentielt at have en effektiv rapporteringsproces på plads.

De 10 mininumsforanstaltninger

Ud over de fire overordnede områder for krav pålægger NIS2-direktivet væsentlige og vigtige enheder at implementere grundlæggende sikkerhedsforanstaltninger til håndtering af specifikke former for sandsynlige cybertrusler.

Disse omfatter:

  1. Risikovurderinger og sikkerhedspolitikker for informationsystemer.

  2. Politikker og procedurer til evaluering af effektiviteten af sikkerhedsforanstaltninger.

  3. Politikker og procedurer for brug af kryptografi og eventuelt kryptering.

  4. En plan for håndtering af sikkerhedshændelser.

  5. Sikkerhed omkring indkøb af systemer og udvikling og drift af systemer. Dette indebærer at have politikker for håndtering og rapportering af sårbarheder.

  6. Cybersikkerhedstræning og praksis for grundlæggende computerhygiejne.

  7. Sikkerhedsprocedurer for medarbejdere med adgang til følsomme eller vigtige data, inklusive politikker for dataadgang. Berørte organisationer skal også have en oversigt over alle relevante aktiver og sikre, at de anvendes og håndteres korrekt.

  8. En plan for håndtering af forretningsaktiviteter under og efter en sikkerhedshændelse. Dette indebærer, at sikkerhedskopier skal være opdaterede. Der skal også være en plan for at sikre adgangen til IT-systemer og deres driftsfunktioner under og efter en sikkerhedshændelse.

  9. Anvendelsen af multifaktorgodkendelse, løbende godkendelsesløsninger, stemme-, video- og tekstkryptering samt krypteret intern nødkommunikation, når det er relevant.

  10. Sikkerhed omkring forsyningskæder og forholdet mellem virksomheden og direkte leverandører. Virksomheder skal vælge sikkerhedsforanstaltninger, der passer til sårbarhederne hos hver enkelt direkte leverandør. Virksomhederne skal også vurdere det overordnede sikkerhedsniveau for alle leverandører.
NIS2-direktivet

Hvordan føres der tilsyn med NIS2-direktivet?

Som med al anden lovgivning er det vigtigt, at man lever op til ovenstående lovkrav. Gør man ikke det, kan man risikere en række forskellige sanktioner. Mulighederne for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.

Med indførelsen af NIS2-direktivet bliver myndighedernes tilsyn udvidet både i dybde og rækkevidde. Denne udvidelse betyder, at tilsynet bliver mere omfattende og dækker en bredere vifte af områder.

Det indebærer, at tilsynsmyndighederne vil være mere engagerede i at sikre overholdelsen af direktivets krav, og at flere sektorer nu er omfattet af direktivets bestemmelser.

For de organisationer, der betragtes som væsentlige enheder, vil der være en kontinuerlig form for tilsyn, der inkluderer revisioner, rapportering og peer reviews.

Organisationer kategoriseret som vigtige enheder kan forvente et tilsyn, der også involverer tvungne revisioner og rapportering, hvis der opstår mistanke om, at de ikke lever op til direktivets krav.

Lever man ikke op til kravene, falder hammeren. Og den slår hårdt. 

For ligesom da GDPR-lovgivningen blev indført, har EU det store bødehæfte med i lommen – klar til at sanktionere de virksomheder, der ikke formår at leve op til kravene i NIS2-direktivet.

For at give en fornemmelse af hårdheden i sanktionerne, kan vi kigge på størrelsen af de bøder, man kan risikere. Vigtige enheder kan risikere bøder på 7.000.000 EUR eller 1,4 % af den årlige omsætning, hvis dette beløb er højere. De væsentlige enheder kan risikere bøder i størrelsen på 10.000.000 EUR eller 2 % af den årlige omsætning, hvis dette beløb er højere.

Tidslinje for implementering af NIS2-direktivet i Danmark

Direktivet blev formelt vedtaget den 10. november 2022 og trådte i kraft den 18. januar 2023. Herefter havde medlemslandene en frist på 21 måneder til at implementere direktivet i national lovgivning, hvilket satte den oprindelige deadline til den 17. oktober 2024.

I Danmark har implementeringen af NIS2-direktivet oplevet flere forsinkelser. Ifølge Ministeriet for Samfundssikkerhed og Beredskab forventes lovforslaget om foranstaltninger til sikring af et højt cybersikkerhedsniveau at blive fremsat i februar 2025, med ikrafttrædelse den 1. juli 2025.

Denne tidsplan indebærer, at Danmark overskrider EU's oprindelige implementeringsfrist med cirka ni måneder. Ministeriet har informeret EU-Kommissionen om den nye plan for implementeringen i Danmark. I mellemtiden arbejder myndighederne på at inddrage virksomheder, organisationer og øvrige relevante parter i drøftelser om det videre arbejde med implementeringen af NIS2-direktivet.

Det er vigtigt for danske virksomheder og organisationer at være opmærksomme på denne tidslinje og begynde forberedelserne til at overholde de kommende krav i NIS2-direktivet, selvom den nationale lovgivning først forventes at træde i kraft den 1. juli 2025.

Er din virksomhed rustet til NIS?

I lyset af den væsentlige udvidelse af NIS2-direktivets anvendelsesområde er det virkelig vigtigt, at både offentlige og private enheder træder i karakter allerede nu og tager stilling til direktivets betydning for dem.

Hvis din virksomhed er omfattet af NIS2-direktivet, bør du derfor nu sikre, at I er helt klar.

For at undersøge dette bør du:

  • Lave et revideret overblik over dine informationsaktiver og forretningsprocesser for at kunne lave en risikovurdering og prioritering.
  • Lave en gap-analyse af kravene i NIS2-direktivet i forhold til de foranstaltninger, du har på nuværende tidspunkt.
  • Lægge en plan for implementering og vedligeholdelse af kravene i NIS2.

Især for virksomheder og offentlige institutioner, der tidligere ikke har haft NIS-direktivet på radaren, kan implementeringen af NIS2 føre til betydelige administrative og økonomiske overvejelser. 

Men selv for de enheder, der allerede opererer under NIS-direktivet, vil der være en nødvendighed i at afsætte ressourcer til at vurdere og integrere NIS2-direktivet.

Uanset hvilken situation man befinder sig i, er det helt centralt, at implementeringen af NIS2 bliver et ledelsesmæssigt anliggende, og at de rette og tilstrækkelige ressourcer er til rådighed for at realisere denne indsats.

Gå ikke glip af en artikel

Tilmeld dig i dag, så du kan modtage spændende opdateringer og de seneste nyheder fra Pleo.