NIS2 CYBERSIKKERHEDSKRAV træder i kraft i Danmark DEN 01/03/25, flere måneder FORSINKET

NIS2 gælder alene for NIS2-direktivet gælder for en bred vifte af virksomheder og organisationer inden for kritiske sektorer i EU, som har betydning for samfundets funktion. Dette omfatter blandt andet energi, transport, bankvæsen, finansmarkeder, sundhedssektoren, drikkevandsforsyning, og digitale infrastrukturer. Kravet her er 50 eller flere ansatte og en årlig omsætning eller årlig balance på 10 millioner euro eller mere. Det skriver ICARE SECURITY A/S.

NIS2-direktivet stiller krav til virksomhederne om at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger for at håndtere risici mod net- og informationssystemer, der anvendes til deres kritiske tjenester. Derudover skal virksomhederne rapportere væsentlige hændelser til de relevante myndigheder.

Mens mange organisationer er i fuld gang med forberedelserne, har regeringen valgt at skubbe ikrafttrædelsesdatoen for den nye NIS2-lov længere frem. Den nye dato, hvor NIS2 bliver til lov i Danmark, er nu fastsat til 1. marts 2025.

I marts afslørede Computerworld som det første medie, at regeringen sigtede mod 1. januar 2025 som ikrafttrædelsesdato for den nye og omfattende it-sikkerhedslov. Dengang var det danske lovforslag til NIS2 under udarbejdelse, og forsvarsminister Troels Lund Poulsen (V) meddelte, at han forventede, at loven ville træde i kraft 1. januar 2025.

Nu er regeringen klar med det første konkrete udkast til lovforslaget, som netop er blevet sendt i høring. Den nye lov vil hedde “Lov om foranstaltninger til sikring af højt cybersikkerhedsniveau.”

Udkastet fastlægger nu ikrafttrædelsesdatoen til 1. marts 2025, hvilket er tre måneder senere end oprindeligt forventet. Årsagen til udskydelsen fremgår ikke af udkastet.

Regeringen besluttede i begyndelsen af februar at udskyde lovgivningsprocessen i forbindelse med NIS2 med et halvt år på grund af lovarbejdets kompleksitet og omfang.

Denne udskydelse udløste bekymring om, at virksomheder og organisationer ville få kortere tid til forberedelserne. Med den nye udskydelse sikres de dog tre måneder yderligere til at få processerne på plads inden lovens ikrafttræden.

Af lovudkastet fremgår det desuden, at NIS2 ikke vil gælde i Grønland og på Færøerne, medmindre Kong Frederik ved kongelig anordning beslutter at indføre reglerne helt eller delvist.

Antal ansatte og krav:

  • NIS2-direktivet gælder generelt for virksomheder og organisationer med 50 eller flere ansatte og en årlig omsætning eller årlig balance på 10 millioner euro eller mere.
  • Direktivet kan også gælde for mindre virksomheder, hvis de vurderes at have en væsentlig rolle for kritisk infrastruktur eller services, eller hvis de er af særlig national eller europæisk betydning.

Sektorer omfattet af NIS2:

  • Energi (el, olie, gas)
  • Transport (luftfart, jernbane, søtransport, vejtransport)
  • Bankvæsen
  • Finansmarkeder
  • Sundhedssektoren (herunder sygehuse og private klinikker)
  • Drikkevandsforsyning og -distribution
  • Digital infrastruktur (internetudbydere, datacentre, netværkstjenester)
  • Offentlige administrationer og leverandører af digital tjenesteudbydere (online markedspladser, søgemaskiner og cloud computing tjenester)
  • Hvad er NIS2?
  • NIS2-direktivet er den EU-dækkende lovgivning om cybersikkerhed, der har til formål at øge det overordnede cybersikkerhedsniveau i EU. Direktivet indeholder retlige foranstaltninger til at modernisere og udvide de eksisterende rammer for at håndtere den øgede digitalisering og det voksende trusselslandskab for cybersikkerhed.
  • NIS2-direktivet trådte i kraft i 2023 og ajourførte de tidligere regler fra 2016. Ved at inkludere nye sektorer og enheder sigter direktivet mod at forbedre kapaciteten hos både offentlige og private enheder, samt de kompetente myndigheder i EU, til at reagere på cybersikkerhedshændelser.
  • Nøgleelementer i NIS2-direktivet:
  • Medlemsstaternes Beredskab:
  • Medlemsstaterne skal være tilstrækkeligt udstyret med en IT Security Incident Response Team (CSIRT) og en kompetent national net- og informationssystemmyndighed (NIS).
  • Samarbejde mellem Medlemsstater:
  • En samarbejdsgruppe skal nedsættes for at støtte og lette strategisk samarbejde og informationsudveksling mellem medlemsstaterne.
  • Sikkerhedskultur på tværs af Sektorer:
  • Direktivet fremmer en sikkerhedskultur inden for sektorer som energi, transport, vand, bankvæsen, finansielle markedsinfrastrukturer, sundhedspleje og digital infrastruktur.
  • Anvendelsesområde og Krav:
  • Operatører af Væsentlige Tjenester: Virksomheder, der er udpeget af medlemsstaterne som operatører af væsentlige tjenester i ovennævnte sektorer, skal træffe passende sikkerhedsforanstaltninger og underrette de relevante nationale myndigheder om alvorlige hændelser.
  • Centrale Udbydere af Digitale Tjenester: Søgemaskiner, cloud computing-tjenester og onlinemarkedspladser skal overholde kravene til sikkerhed og underretning i henhold til direktivet.
  • Ved at udvide reglernes anvendelsesområde og styrke samarbejdet og beredskabet blandt medlemsstaterne, sigter NIS2-direktivet mod at skabe en robust og samlet tilgang til cybersikkerhed i hele EU.
  • I Danmark er det sikkerhedsprofessionelle og revisorer der udarbejder NIS2 integration fordi det er revisorer der skal påse integrationen årligt i forbindelse med aflægning af årsregnskab, ligesom revisorer i dag påser overholdelse af backup og forsikringskrav samt compliances i virksomheder.

Kilde: ICARE.DK
Fotokredit: ICARE.DK
Personer/Firmaer/Emner/#: #ICARE, #NIS2, #Cybersikkerhed, #TroelsLundPoulsen
Copyrights: Ⓒ 2024 Copyright by ICARE.DK + https://AORS.DK – kan deles ved aktivt link til denne artikel.

Scroll to Top