Er din virksomhed klar til de nye NIS2-regler?

Et nyt lovforslag er sendt til høring, som har til formål at styrke beskyttelsen af Danmarks net- og informationssystemer mod cyberangreb og andre sikkerhedstrusler. Lovforslaget skal implementere det ambitiøse EU-direktiv NIS2 i dansk lov, som skal sikre en ensartet og høj standard for cybersikkerhed på tværs af hele EU.
Nyhed
IT og Teknologi

Hvad handler lovforslaget om? 

Lovforslaget, der indeholder foranstaltninger til sikring af et højt cybersikkerhedsniveau, sigter mod at beskytte Danmarks digitale infrastruktur mod trusler. Hvis lovforslaget bliver vedtaget, træder det i kraft den 1. juli 2025. Loven vil stille krav til dig som virksomhed om at sikre dine systemer, rapportere hændelser og samarbejde med myndighederne for at skabe et sikrere cyberspace. 

Loven er baseret på og implementerer NIS2-direktivet, som står for Network and Information Systems Directive 2. NIS2 er et EU-direktiv, der skal styrke cybersikkerheden i hele EU ved at indføre strengere krav til medlemslandenes net- og informationssystemer.  

Med denne lovgivning vil du som virksomhed i Danmark skulle forholde dig til de nye krav og forberede dig på at leve op til dem for at sikre en højere grad af beskyttelse mod cybertrusler. Vi har samlet de berørte sektorer længere nede i artiklen. 

Hvad er NIS2-direktivet? 

NIS2-direktivet udvider kravene og sanktioneringen inden for cybersikkerhed for at harmonisere sikkerhedsniveauet på tværs af EU-landene. Dette kræver, at alle berørte sektorer, herunder energi, transport, sundhed, digital infrastruktur, finans, forsyning, telekommunikation, offentlige institutioner og uddannelsesinstitutioner, implementerer effektive risikostyringssystemer, beskytter deres digitale infrastruktur og overholder de nye regler for at forhindre og reagere på cybertrusler. Overholdelse af NIS2 er ikke kun et lovkrav, men også en nødvendighed for at sikre virksomhedens drift og beskytte følsomme data. 

NIS2-direktivet sætter rammerne for, hvordan virksomheder og myndigheder skal håndtere cyber- og informationssikkerhed. Dette direktiv implementeres gennem nationale bekendtgørelser, der fungerer som bindende lovgivning. Det betyder, at din organisation er forpligtet til at overholde de krav, der er fastsat i den danske bekendtgørelse, der forventeligt træder i kraft den 1. juli 2025. 

Hvem gælder loven for? 
Loven gælder for virksomheder og organisationer, der ifølge kommissionen varetager vigtige funktioner i samfundet, samt de offentlige myndigheder, herunder centraladministration, regioner og kommuner.  

Følgende er en ikke-udtømmende liste over de sektorer og virksomheder, som er berørte:  

  • Energi: El- og gasleverandører samt energiproducenter (f.eks. vindmølleparker, solenergi). 
  • Transport: Flyselskaber, jernbaneoperatører samt havne- og transportinfrastruktur. 
  • Sundhedssektoren: Hospitaler og klinikker, medicinalvirksomheder og leverandører af medicinsk udstyr 
  • Digital infrastruktur: Internetudbydere, Cloud-tjenester og datacentre 
  • Finanssektoren: Banker, forsikringsselskaber og investeringsfirmaer 
  • Forsyningssektoren: Vandforsyningsselskaber og affaldshåndteringsvirksomheder 
  • Telekommunikation: Mobil- og fastnettelefonudbydere 
  • Offentlige institutioner: Stat og kommune samt offentlige forvaltninger 
  • Uddannelsesinstitutioner: Universiteter 

Hvad er de vigtigste punkter i lovforslaget? 

  • Sikkerhed: Virksomheder skal have tilstrækkelige sikkerhedsforanstaltninger på plads for at beskytte deres IT-systemer. 
  • Rapportering: Hvis en virksomhed oplever en alvorlig sikkerhedshændelse (som et cyberangreb), skal den straks rapportere det til de relevante myndigheder. 
  • Tilsyn: Myndighederne har ret til at føre tilsyn med, om virksomhederne overholder lovens krav. De kan give påbud eller forbud, hvis det er nødvendigt. 
  • Samarbejde: Der skal være samarbejde mellem virksomhederne og myndighederne for at forbedre cybersikkerheden, som skal dele information om trusler og hændelser.  
  • Uddannelse: Myndighederne skal arbejde på at øge bevidstheden og uddannelsen om cybersikkerhed blandt både virksomheder og offentligheden. 
  • Videregivelse af oplysninger: Myndighederne kan dele oplysninger om cybersikkerhed med andre EU-lande, men kun hvis det ikke skader national sikkerhed. 
  • Sanktioner: Hvis nogen overtræder den nye lov, kan de sanktioneres med bøder.  
  • Ikrafttrædelse: Loven træder i kraft den 1. juli 2025. 
  • Ændringer i anden lovgivning: Loven ophæver flere tidligere love, der handlede om net- og informationssikkerhed. 

Hvilke konkrete krav stiller lovforslaget til din virksomhed? 

Lovforslaget stiller en række vigtige krav til governance i din organisation, herunder ledelse, risikostyring og rapportering, som vi har samlet her:  

Ledelsesansvar 

Ledelsen i din virksomhed skal være bekendt med kravene i lovforslaget og have ansvar for at sikre, at cyberrisici identificeres, håndteres, og at alle krav overholdes. Dette betyder, at ledelsen skal være aktivt involveret i at forme og opretholde virksomhedens cybersikkerhedspolitikker. 

Risikostyring 

Den nye lov stiller øgede krav til risikostyring og robusthed. Din virksomhed skal implementere skadesforebyggende og -begrænsende foranstaltninger for at reducere risici og konsekvenser. Minimumskrav inkluderer: 

  • Incident management: Etablering af processer til håndtering af sikkerhedshændelser. 
  • Sikkerhed i forsyningskæden: Vurdering af leverandørers sikkerhed. 
  • Netværkssikkerhed: Sikring af jeres netværk mod uautoriseret adgang. 
  • Adgangskontrol: Implementering af kontroller for at begrænse adgangen til følsomme oplysninger. 
  • Kryptering: Beskyttelse af data gennem krypteringsteknikker. 

Forretningskontinuitet 

Din virksomhed skal planlægge, hvordan I vil sikre forretningskontinuitet, hvis I bliver ramt af en større cyberhændelse. Dette inkluderer: 

  • Genopretning af systemer: Etablering af procedurer for hurtig genopretning af IT-systemer. 
  • Nødprocedurer: Udvikling af nødprocedurer for at håndtere hændelser. 
  • Krisestyring: Håndteringen af selve hændelsen kræver en kriseplan og eskalationsprocedurer, så virksomheden kan reagere hurtigt og effektivt, samt sikre, at relevante myndigheder og interessenter bliver informeret rettidigt i overensstemmelse med direktivets krav. 

Rapportering til myndighederne 

Lovforslaget kræver blandt andet, at man rapporterer større hændelser inden for 24 timer, hvilket betyder, at din virksomhed skal være forberedt på hurtigt at kommunikere hændelser til de relevante myndigheder. 

På denne måde sikrer din virksomhed en stærkere governance-struktur i forhold til cybersikkerhed i overensstemmelse med NIS2-direktivet. 

Har du spørgsmål til de nye regler?  

Hos Lund Elmer Sandager rådgiver vi flere virksomheder om danske og internationale retningslinjer og love vedrørende IT, teknologi og reglerne om cybersikkerhed, herunder NIS2-direktivet, og vi er dedikerede til at hjælpe vores klienter med at navigere i det komplekse landskab af cybersikkerhed og informationssikkerhed. Kontakt partner, advokat Torsten Hylleberg, hvis vi også skal hjælpe din virksomhed med at blive compliant. 

Deltag i vores inspirationsmøde om NIS2-reglerne 

Har du brug for en introduktion til NIS2-reglerne og inspiration til, hvordan du kan arbejde med dem? Så afholder vi sammen med NorthGRC og ECIT et inspirationsmøde om NIS2-direktivet og det danske lovforslag onsdag den 20. november hos os i Lund Elmer Sandager. Få dybere indsigt i de kommende nye krav, praktiske råd og konkrete løsninger fra eksperter. Læs mere om eventet og tilmeld dig her.