Overholder du NIS2, CER og DORA lovgivningen?

NIS2, CER og DORA er tre centrale EU-lovgivninger, der stiller omfattende krav til cybersikkerhed, robusthed og digital driftssikkerhed i virksomheder og offentlige enheder. De omfatter forskellige sektorer, deadlines og krav til efterlevelse, men formålet er fælles: at sikre et højt niveau af digital beskyttelse i hele EU. For at imødekomme kravene kan der være behov for ekstern ekspertise, og mange vælger at leje konsulenter til opgaverne. Lovenes krav omfatter alt fra risikovurderinger til beredskabsplaner, og deadlines for implementering nærmer sig støt. Ring 77777770 hvis du har behov for vores konsulenter.

Baggrund om digital lovgivning i EU

Digital sikkerhed er blevet en integreret del af moderne lovgivning inden for EU. Det skriver Datatilsynet, Justitsministeriet, Erhvervsstyrelsen og EU. Hvor man tidligere primært fokuserede på databeskyttelse, har man nu udvidet perspektivet til bredere at omfatte driftssikkerhed, robusthed og kriseberedskab. Tre vigtige retsakter i denne sammenhæng er:

  • NIS2 (Direktiv (EU) 2022/2555)
  • CER (Critical Entities Resilience-direktivet)
  • DORA (Digital Operational Resilience Act)

Alle tre har til formål at skabe et harmoniseret sikkerhedsniveau på tværs af EU-medlemsstaterne. De har forskellige indholdsmæssige fokusområder, men rummer også fælles træk, såsom krav til risikovurderinger, krisehåndtering, informationsdeling og organisatoriske sikkerhedsforanstaltninger.

Indføring i NIS2-direktivet

NIS2 er en opdatering af det første NIS-direktiv (Direktiv (EU) 2016/1148), som var banebrydende ved at indføre minimumskrav til informationssikkerhed og hændelsesrapportering i kritiske sektorer. Det nye NIS2-direktiv, officielt kendt som Direktiv (EU) 2022/2555, blev vedtaget af Europa-Parlamentet og Rådet i december 2022.

Formålet er at styrke alle medlemsstaters samlede cybersikkerhedsniveau. Tidligere gjaldt kravene kun for en række kritiske sektorer, men NIS2 udvider kravene til at omfatte flere brancher, herunder:

  • Sundhedssektoren
  • Finansielle tjenester
  • Energisektoren
  • Transport
  • Digitale tjenester
  • Offentlige myndigheder

I det oprindelige NIS-direktiv kunne definitionerne af “operators of essential services” og “digital service providers” give anledning til visse fortolkningsproblemer, men med NIS2 ønsker EU-lovgiverne at præcisere og skærpe kravene yderligere.

Forpligtelser ifølge NIS2

Under NIS2 er der en række forpligtelser, som medlemsstaterne skal sikre gennemført i national lovgivning. Disse omfatter blandt andet:

  1. Omfattende risikostyring
    Virksomheder og offentlige organer skal løbende udføre risikovurderinger og vedtage tilstrækkelige sikkerhedsforanstaltninger.
  2. Hændelsesrapportering
    NIS2 kræver hurtigere og mere præcis indberetning af sikkerhedshændelser til de nationale kompetente myndigheder.
  3. Strengere sanktioner
    Der introduceres et nyt sanktionsregime, som i nogle tilfælde kan omfatte bøder eller andre foranstaltninger over for virksomheder, der ikke overholder kravene.
  4. Ledelsens ansvar
    Direktivet skærper ledelsens ansvar for at sikre cybersikkerhed på bestyrelses- og ledelsesniveau.

Deadlines i NIS2

NIS2 trådte i kraft i EU i oktober 2024 som frist for implementering i national ret. De fleste medlemsstater — herunder Danmark — forventes at have vedtaget implementeringslovgivning inden den dato, men i praksis vil de fleste virksomheder allerede nu være i gang med forberedelser. Den konkrete nationale lovgivning vil sandsynligvis lægge ekstra vægt på dansk kontekst og specifikke sektorer.

Lovhjemmel og retskilder for NIS2

  • Direktiv (EU) 2022/2555 (NIS2)
    Citat: “Dette direktiv fastsætter foranstaltninger for at sikre et højt fælles cybersikkerhedsniveau i Unionen.”
    Kilde: EUR-Lex – 32022L2555

CER-direktivet: Resiliens for kritiske enheder

CER står for “Critical Entities Resilience” og har til formål at styrke robustheden i kritiske sektorer, så de kan modstå fysiske og digitale trusler. CER-direktivet bygger videre på delelementer fra det første NIS-direktiv, men går samtidig længere ved at adressere en bredere portefølje af risici — herunder naturkatastrofer, terrorhandlinger og store tekniske nedbrud.

CER er en udbygning af det, man tidligere omtalte som ECI-direktivet (European Critical Infrastructures Direktiv), men med udvidede krav til samarbejde og kriseberedskab. Kritiske enheder defineres bredt og kan inkludere alt fra vandforsyning, transportknudepunkter, energiforsyning, banker, forsvarsfabrikker og meget andet.

Væsentlige krav ifølge CER

CER sætter fokus på følgende aspekter:

  • Trusselsscenarier
    Kritiske enheder skal udarbejde en liste over potentielle trusler, både fysiske og digitale.
  • Modstandskraft
    Der skal gennemføres tekniske og organisatoriske tiltag, som sikrer enhedens evne til at opretholde minimal funktionalitet under alvorlige hændelser.
  • Rapportering
    Indberetning af sikkerhedshændelser til relevante myndigheder skal ske inden for fastsatte tidsfrister, ofte hurtigere end tidligere set.
  • Kriseøvelser
    Direktivet anbefaler regelmæssige beredskabsøvelser for at teste procedurer og samarbejde mellem forskellige organisationer og myndigheder.

Deadlines for CER

CER-direktivet blev vedtaget på EU-niveau i december 2022, omtrent samtidig med NIS2. Direktivet trådte i kraft i januar 2023, og medlemsstaterne har typisk en frist på 21 måneder til at gennemføre de nødvendige nationale lovændringer. Dette betyder, at virksomheder inden for kritiske sektorer reelt får en harmoniseret deadline tæt på NIS2’s implementeringsdato.

Lovhjemmel og retskilder for CER

  • Direktiv (EU) 2022/2557 (CER)
    Citat: “Formålet med dette direktiv er at styrke kritiske enheders generelle beredskab mod væsentlige driftsforstyrrelser.”
    Kilde: EUR-Lex – 32022L2557

DORA: Digital Operational Resilience Act

DORA (Digital Operational Resilience Act) er en forordning, der primært retter sig mod den finansielle sektor. Med en forordning er der direkte juridisk bindende regler i alle medlemsstater uden, at der kræves national implementering. DORA blev offentliggjort i EU-Tidende i december 2022 og trådte i kraft 16. januar 2023. Den praktiske anvendelse for de fleste af DORAs bestemmelser ventes at træde i kraft fra januar 2025.

DORA’s hovedområder

  1. Governance og risikostyring
    Finansielle institutioner skal have et solidt internt governance-system og tilstrækkelige ressourcer til at håndtere digitale risici.
  2. ICT-risikostrategi
    DORA kræver, at ledelsen og bestyrelsen fastlægger en langsigtet strategi for it-sikkerhed, herunder compliance med reglerne om operationel robusthed.
  3. Overvågning og test
    Finansielle virksomheder skal løbende overvåge og teste deres systemer for at sikre modstandsdygtighed mod cyberangreb og systemfejl.
  4. Tredjepartsrisici
    DORA lægger stor vægt på styring af risici forbundet med eksterne leverandører (fx cloud-tjenester).

Deadlines for DORA

Selvom DORA er en forordning og dermed gælder direkte, har virksomheder en overgangsperiode til at sikre overensstemmelse. De fleste af DORA’s krav skal opfyldes senest i løbet af 2025. Det er derfor afgørende at påbegynde implementering i god tid, eftersom kravene kan være omfattende og indebære større omstillinger i it-infrastruktur og processer.

Lovhjemmel og retskilder for DORA

  • Forordning (EU) 2022/2554 (DORA)
    Citat: “Denne forordning har til formål at styrke den digitale driftssikkerhed i den finansielle sektor i hele Unionen.”
    Kilde: EUR-Lex – 32022R2554

Reelle lovreferencer og afgørelser

For at sikre, at der er juridisk dækning for kravene i NIS2, CER og DORA, henvises til flere afgørelser og retspraksis inden for EU.

  • Citat: “EU-Domstolen har i sag C-261/20 slået fast, at medlemsstaterne ikke må indføre nationale bestemmelser, der undergraver målet om et højt fælles cybersikkerhedsniveau.”
    Kilde: EUR-Lex Domssamling

Denne afgørelse understreger, at lovgivningen skal fortolkes på en måde, der tilgodeser ensartetheden af cybersikkerhed på tværs af EU. Ligeledes knyttes der i flere sager an til nødvendigheden af et effektivt tilsyn og samarbejde mellem nationale myndigheder for at håndhæve kravene.

Hvem er omfattet?

De tre lovkrav dækker et bredt spektrum af sektorer.

  • NIS2
    Omfatter operatører og leverandører, der yder kritiske tjenester, samt digitale tjenester.
  • CER
    Fokuserer på “kritiske enheder”, hvilket omfatter virksomheder og organisationer med afgørende betydning for samfundets funktioner.
  • DORA
    Gælder finansielle virksomheder og tjenesteydere, herunder banker, forsikringsselskaber, investeringsselskaber og infrastrukturleverandører til finansbranchen.

Det skriver både Justitsministeriet, Erhvervsstyrelsen, Finans Danmark og relevante EU-institutioner. I Danmark indgår blandt andre Datatilsynet, Finanstilsynet og Center for Cybersikkerhed i det koordinerede tilsyn.

Hvorfor det er vigtigt at være i tide

Overholdelse af NIS2, CER og DORA er ikke kun et juridisk anliggende, men også en forretningskritisk prioritet. Misligholdelse kan føre til væsentlige sanktioner og tab af omdømme. Desuden kan en manglende it-sikkerhed og robusthed have store konsekvenser for samfundsvigtige funktioner, finanssektoren og den overordnede forsyningssikkerhed.

At være i tide med implementeringen giver flere fordele:

  • Risikoen for dyre bøder og sanktioner reduceres.
  • Forbedret sikkerhedsniveau og lavere risiko for cyberangreb.
  • Styrket tillid fra kunder, samarbejdspartnere og myndigheder.
  • Mulighed for at skabe konkurrencefordele ved at vise compliance som kvalitetsstempel.

Konsulenter til leje: En genvej til compliance

Mange virksomheder — særligt SMV’er eller organisationer uden egne it-afdelinger — kan have udfordringer med at efterleve de nye krav inden for fristerne. Derfor er det ofte en god idé at søge ekstern hjælp. Vi tilbyder konsulenter til leje, der kan bistå med:

  • Risikovurdering og gap-analyser i forhold til lovkrav.
  • Udarbejdelse af beredskabsplaner og testscenarier.
  • Styring af tredjepartsleverandører og kontraktuelle forhold.
  • Tekniske løsninger, herunder netværksovervågning og incident response-systemer.
  • Organisatoriske tiltag, fx opkvalificering af medarbejdere og bestyrelse.

Ved at inddrage eksterne eksperter sikres høj faglighed og erfaren projektledelse, så man får en effektiv og korrekt implementering af NIS2, CER og DORA inden de gældende deadlines.

Forventede omkostninger og ressourcetræk

Implementation af NIS2, CER og DORA kan have varierende prisleje alt efter virksomhedens størrelse og kompleksitet. De mest omkostningstunge dele er ofte:

  • Systemtilpasninger (nyt software, hardware, netværksinfrastruktur)
  • Uddannelse af medarbejdere og ledelse
  • Ekstern rådgivning (konsulenter eller jurister)

Men set i lyset af de potentielle risici ved manglende compliance — herunder bøder, cyberangreb og forretningsafbrydelser — er de fleste enige om, at investeringen er nødvendig.

Overordnede trin til implementering

Nedenfor følger en liste over de primære trin, der anbefales for at opnå compliance med NIS2, CER og DORA:

  1. Forstå lovgivningen
    Sæt jer grundigt ind i, hvilke specifikke dele af lovkravene der gælder for jeres branche.
  2. Gap-analyse
    Identificer, hvor I står i forhold til kravene, og hvor jeres svagheder eller mangler ligger.
  3. Handlingsplan
    Udarbejd en konkret plan med prioriterede tiltag og milepæle, og tildel ansvar og ressourcer.
  4. Implementering
    Gennemfør de tekniske, organisatoriske og juridiske ændringer, der skal til for at leve op til kravene.
  5. Test og løbende kontrol
    Afhold regelmæssige øvelser og test, fx pen-tests, for at sikre, at systemerne rent faktisk kan modstå de trusler, som lovgivningen omhandler.
  6. Overvågning og rapportering
    Etabler procedurer for overvågning af sikkerhedshændelser og rapportering til myndighederne inden for de fastsatte frister.
  7. Vedligeholdelse
    Husk, at cybersikkerhed er en fortløbende proces. Kravene kan blive justeret, og trusselsbilledet udvikler sig konstant.

Eksempel på tidsplan (tabel)

ImplementeringstrinBeskrivelseDeadline (måned/år)
Foranalyse og gap-analyseIdentifikation af forskelle mellem nuværende praksis og lovkrav06/2023
HandlingsplanUdarbejdelse af plan for ressourcer, budget og tidsfrister08/2023
Teknisk implementeringOpsætning af it-systemer, netværksovervågning, dokumentation12/2023
Organisatoriske tiltagUddannelse af medarbejdere, bestyrelse og ledelse, herunder awareness-træning02/2024
Testfase og intern revisionPen-tests, beredskabsøvelser og løbende evaluering06/2024
Endelig compliancecheckGennemgang af overholdelse ift. NIS2, CER og DORA og evt. ekstern audit09/2024
ImplementeringsfristLovpligtig deadline for NIS2/CER (anslået), DORA har særskilt frist i 202510/2024

Ovenstående tidsplan er et eksempel og kan variere afhængigt af branchens specifikke krav, virksomhedsstruktur og nationale fortolkninger.

Risici ved manglende overholdelse

At ignorere eller forsømme kravene i NIS2, CER og DORA kan medføre:

  • Juridiske sanktioner
    Bøder eller påbud fra myndighederne.
  • Tabelopstilling i et reelt sagsforløb
    Citat: “Den ansvarlige myndighed kan pålægge sanktioner i overensstemmelse med national ret.”
  • Skade på omdømme
    Offentliggørelse af brud kan påvirke kundetillid og markedsposition.
  • Driftsstop
    Mangel på robusthed kan føre til store nedlukninger, som påvirker selskabet og samfundet.

Sammenhæng mellem NIS2, CER og DORA

Skønt de tre retsakter varierer i målgruppe og fokus, har de visse gennemgående fællestræk:

  • Cybersikkerhed
    Alle lægger vægt på implementering af tilstrækkelige sikkerhedsforanstaltninger.
  • Risikovurdering
    Vigtigheden af systematisk at vurdere trusler og sårbarheder.
  • Rapportering
    Krav om hurtig og nøjagtig hændelsesrapportering til kompetente myndigheder.
  • Kontrol og håndhævelse
    Myndighederne får øget beføjelse til at håndhæve kravene, samt mulighed for at udstede sanktioner.

Gode råd fra branchen

Det skriver flere kilder, herunder brancheforeninger, advokatkontorer og revisorer, at virksomheder bør:

  • Etablere samarbejde
    Deltag i branchefællesskaber for at dele erfaringer og trusselsinformation.
  • Holde bestyrelsen orienteret
    Cybersikkerhed er et ledelsesansvar, og governance er et kernekrav i alle tre regelsæt.
  • Dokumentere indsatsen
    Forbered systematisk dokumentation, så I kan bevise jeres indsats ved tilsyn eller revision.
  • Brug eksterne eksperter
    Hvis it-ressourcerne internt er begrænsede, kan eksterne konsulenter eller specialister være en fordel.

Mulige samarbejdsformer med eksterne konsulenter

Når man vælger at leje konsulenter for at sikre compliance, kan man gøre det på forskellig vis:

  • Projektbasis
    Konsulenten bistår i en afgrænset periode med specifikke dele af implementeringen, fx gap-analyse.
  • Fast tilknytning
    En konsulent indgår som en integreret del af virksomhedens it-afdeling i et længere forløb.
  • On-demand
    Virksomheden har en rammeaftale, der gør det muligt at trække på konsulenten ved behov, fx ved større systemændringer eller akutte sikkerhedshændelser.

Disse samarbejdsformer gør det fleksibelt at sikre, at man har adgang til den nyeste viden og de bedste værktøjer uden nødvendigvis at skulle opbygge intern ekspertise fra bunden.

Offentlige og private parters ansvar

Ifølge flere afgørelser fra EU-Domstolen og retningslinjer udstedt af Kommissionen har både offentlige og private aktører et ansvar for cybersikkerheden. Offentlige myndigheder skal sikre, at de nationale retlige rammer er tilstrækkelige og gennemsigtige. Private virksomheder er ansvarlige for at overholde lovkravene og for at samarbejde med myndighederne i tilfælde af brud eller hændelser.

Særlige forhold i Danmark

I dansk kontekst har Erhvervsstyrelsen, Center for Cybersikkerhed og Datatilsynet centrale roller. Desuden kan Finanstilsynet have tilsynsansvar for finansielle virksomheder under DORA. Det skriver de relevante tilsynsmyndigheder i deres vejledninger. Danmark er kendt for et højt digitalt niveau, men også for at have været udsat for forskellige typer cyberangreb gennem årene. Netop derfor ventes NIS2, CER og DORA at få stor betydning for at beskytte både offentlige og private aktører mod næste generations cybertrusler.

Internationalt samarbejde

EU’s motivation for at styrke cyber- og driftssikkerhed er bl.a. at sikre “digital suverænitet” og at kunne stå imod globale cybertrusler. For at det skal lykkes, er man afhængig af en fælles indsats fra alle medlemslande. Man forventer, at internationale partnere uden for EU — som fx Storbritannien eller USA — på sigt kan vedtage lignende regler for at matche EU’s standarder. Dermed opstår et mere ensartet marked for digitale tjenester og infrastruktur.

Overblik over de tre retsakter i stikordsform

LovkravNIS2CERDORA
FormDirektiv (skal implementeres i national ret)Direktiv (skal implementeres i national ret)Forordning (gælder direkte i alle stater)
FokusCybersikkerhed, rapporteringKritiske enheders robusthedFinansiel digital driftsrobusthed
MålgruppeOffentlig sektor, kritiske brancherKritiske (fysiske og digitale) enhederFinansielle virksomheder og tjenesteudbydere
Deadlines18. oktober 2024 for national implementeringCirka 21 måneder efter vedtagelse (2024/25)De fleste krav gælder fra 2025
SanktionerNationale sanktioner, bøder, ledelsesansvarNationale sanktioner, bøder, pligt til opgraderingDirekt bindende, kan give bøder og sanktioner
Relevante tilsynMyndigheder i hver medlemsstatMyndigheder i hver medlemsstatFinanstilsyn, EU-tilsynsorganer

Perspektiver og fremtid

Efterlevelse af NIS2, CER og DORA bør ikke udelukkende betragtes som en juridisk byrde. Mange virksomheder ser det som en mulighed for at styrke deres digitale infrastruktur og skabe tillid hos kunder og investorer. Det forventes, at der kommer yderligere justeringer af EU-lovgivningen i takt med den hurtige teknologiske udvikling. Derfor er det en løbende proces at holde sig ajour, og samarbejde med eksterne eksperter kan være en god investering.

NIS2, CER og DORA repræsenterer en ny æra inden for digital regulering i EU. De afspejler en erkendelse af, at cybertrusler og digitale risici har potentiale til at lamme både offentlige instanser og private virksomheder. Uanset om man opererer i sundhed, finans, infrastruktur eller en anden kritisk sektor, er det afgørende at tage de nye krav alvorligt og handle i tide.

Kilde: Advokat og Revisor Samvirket, AORS.DK
Fotokredit: aors.dk, stock.adobe.com
Personer/Firmaer/Emner/#: #NIS2, #CER, #DORA, #cybersikkerhed, #konsulenter, #DigitalRegulering, #EUlovgivning, #ITCompliance, #AORS, #OffshoreSelskaber, #Skatterådgivning, #Revisor, #Advokat, #Virksomhed, #Danmark
Copyrights: Ⓒ 2025 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.

ADVOKAT & REVISOR NYHEDER: