Hvad er NIS2?
NIS2 er efterfølgeren til NIS1-direktivet fra 2016. NIS1 satte en fælles retning, men overlod implementeringen til de enkelte EU-lande. Resultatet var præcis hvad man kunne forvente: forskellige krav, forskelligt tilsyn, tænder uden bid. NIS2 retter det med specifikke krav, definerede tilsynsstrukturer og bøder med reel effekt.
Direktivet (EU 2022/2555) blev vedtaget i december 2022 med en transponeringsdeadline i oktober 2024. I Danmark er det implementeret som "Lov om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau" (populært kaldet NIS2-loven), som trådte i kraft 18. oktober 2024.
Under NIS1 var det relativt få virksomheder. Under NIS2 er det potentielt tusindvis i Danmark alene.
Hvem er omfattet?
Direktivet opererer med to kategorier: væsentlige enheder og vigtige enheder. Forskellen handler primært om tilsyn og bødestørrelser. Kravene til sikkerhedsforanstaltninger er de samme for begge kategorier.
Sektorer med væsentlige enheder
- Energi (el, fjernvarme, olie, gas, brint)
- Transport (luft, jernbane, vand, vej)
- Bankvirksomhed og finansielle markedsinfrastrukturer
- Sundhedssektoren
- Drikkevand og spildevand
- Digital infrastruktur (DNS, IXP'er, cloud, datacentre, CDN, TLD-registre)
- ICT-serviceforvaltning (managed services, managed security services)
- Offentlig administration
- Rummet (satellite operators)
Sektorer med vigtige enheder
- Post og kurertjenester
- Affaldshåndtering
- Kemikalier
- Fødevarer
- Fremstilling (medicinaludstyr, computere, elektronik, maskiner, køretøjer)
- Digitale udbydere (online markedspladser, søgemaskiner, sociale medier)
- Forskning
Størrelseskriterier
Grundreglen er: 50 eller flere ansatte ELLER €10 mio. eller mere i omsætning/balancesum. Men kritiske sektorer har undtagelser: visse virksomheder er omfattet uanset størrelse, f.eks. udbydere af digital infrastruktur, TLD-registre og statslige myndigheder.
Hvad kræver NIS2?
Artikel 21 i direktivet specificerer ti kategorier af sikkerhedsforanstaltninger som omfattede enheder skal implementere. Det er ikke frivillige retningslinjer. Det er lovkrav.
- Risikoanalyse og informationssikkerhedspolitikker: systematisk vurdering og dokumenterede politikker
- Hændelseshåndtering: procedurer for at opdage, håndtere og rapportere sikkerhedshændelser
- Driftskontinuitet og krisehåndtering: backup, disaster recovery, business continuity-planer
- Forsyningskædesikkerhed: krav til leverandørers og tjenesteudbyderes sikkerhedsniveau
- Sikkerhed i netværk og informationssystemer: tekniske foranstaltninger i anskaffelses-, udviklings- og driftsprocesser
- Vurdering af effektiviteten af sikkerhedsforanstaltninger: test og revision
- Grundlæggende cyberhygiejne og cybersikkerhedsuddannelse: træning af personale
- Kryptografi og kryptering: politikker for brug af kryptering
- Personalesikkerhed, adgangskontrol og asset management
- Multifaktor-autentificering og sikker kommunikation
Rapportering af hændelser
NIS2 har stramme rapporteringsfrister. Opdager du en sikkerhedshændelse med potentiel væsentlig indvirkning:
- Inden 24 timer: Indledende varsel til den kompetente myndighed
- Inden 72 timer: Detaljeret hændelsesrapport
- Inden 1 måned: Endelig rapport med årsag, konsekvenser og afhjælpende foranstaltninger
72-timers fristen er den samme som under GDPR artikel 33 ved persondata-brud, men NIS2 gælder uanset om persondata er involveret.
Ledelseansvar
NIS2 gør ledelsen personligt ansvarlig. Du kan ikke bare sende det videre til IT og kalde det klaret. Den navngivne ansvarlige skal godkende foranstaltningerne, følge implementeringen aktivt og kan stilles personligt til ansvar for manglende efterlevelse.
Tilsyn og bøder
Bøderne er høje:
- Væsentlige enheder: Op til €10 mio. eller 2% af den samlede globale omsætning (det højeste beløb gælder)
- Vigtige enheder: Op til €7 mio. eller 1,4% af den samlede globale omsætning
I Danmark er tilsynet sektorspecifikt. Det betyder der ikke er én enkelt NIS2-myndighed men en pr. sektor:
- Energi: Energistyrelsen
- Finans: Finanstilsynet
- Sundhed: Sundhedsstyrelsen / Styrelsen for Patientsikkerhed
- Transport: Trafikstyrelsen
- Digital infrastruktur og generel IT: Center for Cybersikkerhed (CFCS)
Hvad skal du gøre nu?
Hvis du er usikker på om du er i scope, er det første skridt at afklare det. Ikke at vente.
- Afgør om du er i scope: sektortilhørsforhold og størrelse. Brug ENISA's vejledning og kontakt din sektormyndighed ved tvivl.
- Lav en gap-analyse mod Artikel 21: hvad har du allerede på plads, hvad mangler? Dokumentér det skriftligt.
- Udpeg en ansvarlig person: NIS2 kræver at ledelsen er involveret. Udpeg hvem der ejer compliance-arbejdet.
- Registrér hos den relevante myndighed: mange sektorer kræver aktiv registrering.
- Implementér de manglende foranstaltninger: start med de tre der giver størst risikoreduktion: hændelseshåndteringsplan, backup-procedure, MFA på kritiske systemer.
Ofte stillede spørgsmål
"Jeg er for lille til at være med"
50-ansatte-grænsen lyder klar, men der er undtagelser. Visse typer infrastruktur (f.eks. TLD-registranter, offentlige myndigheder og udbydere der er eneste leverandør af en kritisk tjeneste) er omfattet uanset størrelse. Og selv om du ikke er direkte omfattet, kan dine kunder stille NIS2-krav til dig som underleverandør.
"Jeg er ikke en IT-virksomhed"
Det er en misforståelse der er udbredt. Fremstillingsvirksomheder (medicinaludstyr, elektronik, køretøjer), fødevareproducenter og kemikalievirksomheder er alle i scope under kategorien "vigtige enheder". Har du 50 ansatte og producerer noget der fremgår af bilag II til direktivet, er du med.
"Hvad med vores underleverandører?"
Forsyningskædesikkerhed (punkt 4 i Artikel 21) kræver at du vurderer dine leverandørers sikkerhedsniveau og indgår aftaler om det. Det betyder at dine kunder, hvis de er NIS2-pligtige, sandsynligvis vil stille krav til din sikkerhedsdokumentation. Og du skal stille de samme krav til dine underleverandører.