Status på implementering af NIS2

NIS2-direktivets implementering er udskudt
Forsvarsministeriet meddelte i starten af februar, at regeringen ikke bliver klar til at fremsætte lovforslaget om dansk implementering af NIS2-direktivet for folketinget før oktober 2024. Fremsættelsen var oprindeligt planlagt til første kvartal i 2024. Forsvarsministeriet forventer derfor først lovforslagene er færdigbehandlet i Folketinget i slutningen af 2024, hvorefter de vil træde i kraft. 

Selvom regeringen har udskudt implementeringen af NIS2 i dansk kontekst, bør erhvervslivet og danske myndigheder fortsat vise rettidig omhu og forberede sig på efterlevelse af kravene.

Center for Cybersikkerhed har for nyligt udsendt en opdatering på status for implementering af NIS2, der giver et overblik og indblik i implementeringsprocessen i dansk lovgivning.  

Den danske regering er på nuværende tidspunkt i gang med at implementere NIS2, der fastlægger foranstaltninger til at sikre et højt fælles cybersikkerhedsniveau i EU. Dette direktiv erstatter og bygger ovenpå det tidligere NIS1-direktiv om sikkerhed i net- og informationssystemer.

NIS2 er et EU-direktiv, hvilket har til formål at beskytte samfundskritisk infrastruktur og tjenester mod cybertrusler og nedbrud ved at styrke og ensarte cybersikkerheden på tværs af sektorer og forbedre modstandsdygtigheden overfor digitale trusler.

NIS2 introducerer betydelige ændringer og pålægger nye krav til virksomheder i de omfattede sektorer. Hvis du vil have en dybdegående forklaring af regler og sektorer påvirket, kan du læse mere om de generelle regler og anvendelsesområdet her. 
Implementering i Danmark

Implementering af NIS2 i Danmark

NIS2 skal vedtages og offentliggøres senest den 17. oktober 2024, hvorefter love og bestemmelser kan anvendes fra d. 18. oktober 2024. Forsvarsministeriet spiller en central rolle i koordineringen af implementeringen, da de vil skabe den grundlæggende ramme for NIS2-implementation på tværs af sektorer. Herefter bliver ressortministerierne, som er de sektoransvarlige myndigheder, ansvarlige for fortolkning og konkretisering af NIS2-direktivet i form af bekendtgørelser. Der er dog tre sektorer, som er undtaget hovedloven på nuværende tidspunkt. Energi-, finans- og telesektoren vil derfor ikke skulle arbejde ud fra den pågældende hovedlov, men i stedet implementeres særskilt. Efterfølgende vil Center for Cybersikkerhed (CFCS) fremlægge et udkast til en modelbekendtgørelse for ressortministerierne. Modelbekendtgørelserne vil fungere som udgangspunktet, hvorefter de enkelte sektoransvarlige myndigheder vil forhandle og indgå i dialog med CFCS. CFCS og ressortministerierne skal derfor nå til enighed om bekendtgørelserne inden de udstedes.
Implementeringen af NIS2-direktivet

Implementeringen af NIS2-direktivet

Efter vedtagelse af sektorbekendtgørelser vil NIS2-implementeringen følge sektoransvarsprincippet, hvor de sektoransvarlige myndigheder bibeholder ansvaret for cybersikkerheden og tilsynet. CFCS vil dog stadig bidrage og understøtte med at løfte sikkerhedsniveauet og sikre et konsistent niveau af cybersikkerhed for kritiske enheder i de respektive sektorer. Ifølge regeringens planlagte lovprogram forventes hovedlovforslaget, til implementering af NIS2-direktivet, at blive fremsat i midt/slut februar 2024. Bekendtgørelser for de enkelte sektorer vil formentlig følge herefter. Finanstilsynet udsendte tilbage i november et udkast til lovforslag i høring. De tiltag, der er indeholdt i lovforslaget for at sikre en effektiv håndtering af it- og cyberrisici, udgør en sammenlignelig implementering af kravene, som er beskrevet i NIS2-direktivets artikel 21. I lovgivningsprocessen vil informationer formentligt blive frigivet trinvist, og der vil opstå tidsmæssigt pres på virksomheder og myndigheder i første halvdel af 2024. Dette udgør en væsentlig årsag til at igangsætte forberedelsesarbejdet i god tid, så man undgår at skulle håndtere GAP-analyser, implementere risikostyring, fastlægge ledelsesforankring, identifikation af handlingsplaner, indføre leverandørstyring og lignende i sidste øjeblik. BDO vil løbende følge lovgivningsprocessen tæt og formidle vigtige nyheder. Har du spørgsmål til NIS2 eller brug for rådgivning, så kontakt os for en uforpligtende samtale om jeres virksomhed, og hvordan I efterlever kravene i NIS2.

Reference: 
Center for Cybersikkerhed: https://www.cfcs.dk/da/om-os/nis2/
Finanstilsynets lovforslag til høring: https://hoeringsportalen.dk/Hearing/Details/68137

NIS2 er et EU-direktiv, der har til formål at beskytte samfundskritisk infrastruktur og tjenester mod cybertrusler og nedbrud ved at styrke og ensarte cybersikkerheden på tværs af sektorer og forbedre modstandsdygtigheden overfor digitale trusler. Direktivet erstatter og bygger ovenpå det tidligere NIS1-direktiv om sikkerhed i net- og informationssystemer.

NIS2 introducerer betydelige ændringer og pålægger nye krav til virksomheder i de omfattede sektorer. For en dybdegående forklaring af regler og sektorer påvirket, kan du læse mere om de generelle regler og anvendelsesområdet her

NIS2 skal vedtages og offentliggøres senest den 17. oktober 2024, hvorefter love og bestemmelser kan anvendes fra d. 18. oktober 2024.

Forsvarsministeriet spiller en central rolle i koordineringen af implementeringen, da de vil skabe den grundlæggende ramme for NIS2-implementering på tværs af sektorer. Herefter bliver det ressortministerierne, som er de sektoransvarlige myndigheder, der vil blive ansvarlige for fortolkning og konkretisering af NIS2-direktivet i form af bekendtgørelser.

Ja, energi-, finans- og telesektoren er undtaget fra hovedloven på nuværende tidspunkt og vil derfor ikke skulle arbejde ud fra den pågældende hovedlov, men i stedet implementeres særskilt.

CFCS vil fremlægge et udkast til en modelbekendtgørelse for ressortministerierne. Efter vedtagelse af sektorbekendtgørelser, vil NIS2-implementeringen følge sektoransvarsprincippet, hvor de sektoransvarlige myndigheder bibeholder ansvaret for cybersikkerheden og tilsynet. CFCS vil dog stadig bidrage og understøtte med at løfte sikkerhedsniveauet og sikre et konsistent niveau af cybersikkerhed for kritiske enheder i de respektive sektorer.

Ifølge regeringens planlagte lovprogram forventes hovedlovforslaget, til implementering af NIS2-direktivet, at blive fremsat i midt/slut februar 2024. Bekendtgørelser for de enkelte sektorer vil formentlig følge herefter.

Kontakt os