Er din virksomhed klar til de nye NIS2-regler?

Et nyt lovforslag er sendt til høring, som har til formål at styrke beskyttelsen af Danmarks net- og informationssystemer mod cyberangreb og andre sikkerhedstrusler. Lovforslaget skal implementere det ambitiøse EU-direktiv NIS2 i dansk lov, som skal sikre en ensartet og høj standard for cybersikkerhed på tværs af hele EU.
Nyhed
IT og Teknologi

Hvad handler lovforslaget om? 

Lovforslaget, der indeholder foranstaltninger til sikring af et højt cybersikkerhedsniveau, sigter mod at beskytte Danmarks digitale infrastruktur mod trusler. Hvis lovforslaget bliver vedtaget, træder det i kraft den 1. juli 2025. Loven vil stille krav til dig som virksomhed om at sikre dine systemer, rapportere hændelser og samarbejde med myndighederne for at skabe et sikrere cyberspace. 

Loven er baseret på og implementerer NIS2-direktivet, som står for Network and Information Systems Directive 2. NIS2 er et EU-direktiv, der skal styrke cybersikkerheden i hele EU ved at indføre strengere krav til medlemslandenes net- og informationssystemer.  

Med denne lovgivning vil du som virksomhed i Danmark skulle forholde dig til de nye krav og forberede dig på at leve op til dem for at sikre en højere grad af beskyttelse mod cybertrusler. Vi har samlet de berørte sektorer længere nede i artiklen. 

Hvad er NIS2-direktivet? 

NIS2-direktivet udvider kravene og sanktioneringen inden for cybersikkerhed for at harmonisere sikkerhedsniveauet på tværs af EU-landene. Dette kræver, at alle berørte sektorer, herunder energi, transport, sundhed, digital infrastruktur, finans, forsyning, telekommunikation, offentlige institutioner og uddannelsesinstitutioner, implementerer effektive risikostyringssystemer, beskytter deres digitale infrastruktur og overholder de nye regler for at forhindre og reagere på cybertrusler. Overholdelse af NIS2 er ikke kun et lovkrav, men også en nødvendighed for at sikre virksomhedens drift og beskytte følsomme data. 

NIS2-direktivet sætter rammerne for, hvordan virksomheder og myndigheder skal håndtere cyber- og informationssikkerhed. Dette direktiv implementeres gennem nationale bekendtgørelser, der fungerer som bindende lovgivning. Det betyder, at din organisation er forpligtet til at overholde de krav, der er fastsat i den danske bekendtgørelse, der forventeligt træder i kraft den 1. juli 2025. 

Hvem gælder loven for? 
Loven gælder for virksomheder og organisationer, der ifølge kommissionen varetager vigtige funktioner i samfundet, samt de offentlige myndigheder, herunder centraladministration, regioner og kommuner.  

Følgende er en ikke-udtømmende liste over de sektorer og virksomheder, som er berørte:  

  • Energi: El- og gasleverandører samt energiproducenter (f.eks. vindmølleparker, solenergi). 
  • Transport: Flyselskaber, jernbaneoperatører samt havne- og transportinfrastruktur. 
  • Sundhedssektoren: Hospitaler og klinikker, medicinalvirksomheder og leverandører af medicinsk udstyr 
  • Digital infrastruktur: Internetudbydere, Cloud-tjenester og datacentre 
  • Finanssektoren: Banker, forsikringsselskaber og investeringsfirmaer 
  • Forsyningssektoren: Vandforsyningsselskaber og affaldshåndteringsvirksomheder 
  • Telekommunikation: Mobil- og fastnettelefonudbydere 
  • Offentlige institutioner: Stat og kommune samt offentlige forvaltninger 
  • Uddannelsesinstitutioner: Universiteter 

Hvad er de vigtigste punkter i lovforslaget? 

  • Sikkerhed: Virksomheder skal have tilstrækkelige sikkerhedsforanstaltninger på plads for at beskytte deres IT-systemer. 
  • Rapportering: Hvis en virksomhed oplever en alvorlig sikkerhedshændelse (som et cyberangreb), skal den straks rapportere det til de relevante myndigheder. 
  • Tilsyn: Myndighederne har ret til at føre tilsyn med, om virksomhederne overholder lovens krav. De kan give påbud eller forbud, hvis det er nødvendigt. 
  • Samarbejde: Der skal være samarbejde mellem virksomhederne og myndighederne for at forbedre cybersikkerheden, som skal dele information om trusler og hændelser.  
  • Uddannelse: Myndighederne skal arbejde på at øge bevidstheden og uddannelsen om cybersikkerhed blandt både virksomheder og offentligheden. 
  • Videregivelse af oplysninger: Myndighederne kan dele oplysninger om cybersikkerhed med andre EU-lande, men kun hvis det ikke skader national sikkerhed. 
  • Sanktioner: Hvis nogen overtræder den nye lov, kan de sanktioneres med bøder.  
  • Ikrafttrædelse: Loven træder i kraft den 1. juli 2025. 
  • Ændringer i anden lovgivning: Loven ophæver flere tidligere love, der handlede om net- og informationssikkerhed. 

Hvilke konkrete krav stiller lovforslaget til din virksomhed? 

Lovforslaget stiller en række vigtige krav til governance i din organisation, herunder ledelse, risikostyring og rapportering, som vi har samlet her:  

Ledelsesansvar 

Ledelsen i din virksomhed skal være bekendt med kravene i lovforslaget og have ansvar for at sikre, at cyberrisici identificeres, håndteres, og at alle krav overholdes. Dette betyder, at ledelsen skal være aktivt involveret i at forme og opretholde virksomhedens cybersikkerhedspolitikker. 

Risikostyring 

Den nye lov stiller øgede krav til risikostyring og robusthed. Din virksomhed skal implementere skadesforebyggende og -begrænsende foranstaltninger for at reducere risici og konsekvenser. Minimumskrav inkluderer: 

  • Incident management: Etablering af processer til håndtering af sikkerhedshændelser. 
  • Sikkerhed i forsyningskæden: Vurdering af leverandørers sikkerhed. 
  • Netværkssikkerhed: Sikring af jeres netværk mod uautoriseret adgang. 
  • Adgangskontrol: Implementering af kontroller for at begrænse adgangen til følsomme oplysninger. 
  • Kryptering: Beskyttelse af data gennem krypteringsteknikker. 

Forretningskontinuitet 

Din virksomhed skal planlægge, hvordan I vil sikre forretningskontinuitet, hvis I bliver ramt af en større cyberhændelse. Dette inkluderer: 

  • Genopretning af systemer: Etablering af procedurer for hurtig genopretning af IT-systemer. 
  • Nødprocedurer: Udvikling af nødprocedurer for at håndtere hændelser. 
  • Krisestyring: Håndteringen af selve hændelsen kræver en kriseplan og eskalationsprocedurer, så virksomheden kan reagere hurtigt og effektivt, samt sikre, at relevante myndigheder og interessenter bliver informeret rettidigt i overensstemmelse med direktivets krav. 

Rapportering til myndighederne 

Lovforslaget kræver blandt andet, at man rapporterer større hændelser inden for 24 timer, hvilket betyder, at din virksomhed skal være forberedt på hurtigt at kommunikere hændelser til de relevante myndigheder. 

På denne måde sikrer din virksomhed en stærkere governance-struktur i forhold til cybersikkerhed i overensstemmelse med NIS2-direktivet. 

Har du spørgsmål til de nye regler?  

Hos Lund Elmer Sandager rådgiver vi flere virksomheder om danske og internationale retningslinjer og love vedrørende IT, teknologi og reglerne om cybersikkerhed, herunder NIS2-direktivet, og vi er dedikerede til at hjælpe vores klienter med at navigere i det komplekse landskab af cybersikkerhed og informationssikkerhed. Kontakt partner, advokat Torsten Hylleberg, hvis vi også skal hjælpe din virksomhed med at blive compliant. 

Deltag i vores inspirationsmøde om NIS2-reglerne 

Har du brug for en introduktion til NIS2-reglerne og inspiration til, hvordan du kan arbejde med dem? Så afholder vi sammen med NorthGRC og ECIT et inspirationsmøde om NIS2-direktivet og det danske lovforslag onsdag den 20. november hos os i Lund Elmer Sandager. Få dybere indsigt i de kommende nye krav, praktiske råd og konkrete løsninger fra eksperter. Læs mere om eventet og tilmeld dig her. 

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede medarbejdere

Daniel er advokatfuldmægtig i vores afdeling for Corporate Commercial.

Daniel Benjamin Pedersen

advokatfuldmægtig
Torsten er certificeret IT-advokat og højt specialiseret inden for persondataret, markedsføringsret og IT-ret.

Torsten Hylleberg

partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

AI-ekspert: “AI er en trussel for dem, der sidder på deres hænder.”

Hvordan kan du som leder bruge AI til at skabe vækst og innovation i din virksomhed? Det har vi spurgt AI-ekspert Thomas Terney om. Han mener, at generativ AI er en teknologi, der kommer til at ændre den måde, vi kommunikerer og arbejder på. Han kommer også med gode råd til, hvordan du som ledelse skal sikre succesfuld implementering af AI-værktøjer, som er en vital forudsætning for at forblive konkurrencedygtig i en verden, hvor udbredelse af AI sker i et hidtil uset tempo.
IT og Teknologi
Nyhed

Kan lovgivningen følge med AI?

Udbredelsen af AI-baserede tjenester som ChatGPT buldrer af sted, og det er nemt at se fordele ved den nye teknologi. Men kunstig intelligens rejser også mange nye juridiske udfordringer, som lovgivningen nu skal forholde sig til. Få et indblik i nogle af de aktuelle problematikker, og bliv klogere på EU's digitale strategi på området.
IT og Teknologi
Nyhed

Ny vejledning fra Da­ta­til­sy­net om direkte mar­keds­fø­ring

Datatilsynet har udgivet en ny vejledning om direkte markedsføring, som trådte i kraft den 30. juni 2023. Vejledningen er særligt for private virksomheder, der optræder som dataansvarlige. Nedenfor finder du en kort opsummering af den nye vejledning.
IT og Teknologi
Nyhed

Lund Elmer Sandager bidrager til International Comprative Legal Guide – Data Protection 2023

Lund Elmer Sandager har bidraget med et oplysende kapitel om GDPR (General Data Protection Regulation), der giver opdaterede indsigter i de danske juridiske regler om GDPR i denne prestigefyldte internationale vejledning.
IT og Teknologi
Nyhed

Europæiske virk­som­he­der kan igen overføre persondata sikkert til USA

EU-Kommissionen har den 10. juli 2023 besluttet, at EU-U.S. Data Protection Framework nu kan bruges til sikkert at overføre personoplysninger fra EU til USA. Sådanne overførsler kan derfor ske uden ekstra sikkerheds- eller beskyttelsesforanstaltninger ved brug af EU-U.S. Data Protection Framework.
IT og Teknologi
Nyhed

Hvordan indgår og frigør virksomheder sig af overenskomster?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
IT og Teknologi