Her får du et overblik over indholdet af de nye vejledninger – og hvad du allerede nu bør forholde dig til som virksomhed, offentlig myndighed eller leverandør til en NIS2-omfattet virksomhed.
NIS2-vejledningerne besvarer to centrale spørgsmål
Selvom vejledningerne ikke er juridisk bindende, giver de en autoritativ fortolkning af, hvordan NIS2-loven skal forstås og anvendes i praksis.
1. Er jeg omfattet af loven?
Vejledningerne er ikke juridisk bindende, men giver en autoritativ fortolkning af, hvordan loven skal forstås og anvendes i praksis.
2. Hvad forventes der konkret af ledelsen?
Vejledningerne fokuserer henholdsvis på ledelsens ansvar og hvordan man vurderer, om man er omfattet af loven.
Centrale pointer fra vejledningen om anvendelsesområdet:
Bredt anvendelsesområde: Enheder omfattet af bilag 1 og 2 skal forholde sig til loven, hvis de har mere end 50 ansatte eller en omsætning på over 10 mio. EUR. Dette “eller”-kriterie udvider lovens anvendelsesområde markant ift. tidligere udkast.
Hele enheden er i scope: Hvis én aktivitet bringer virksomheden ind under NIS2, er hele den juridiske enhed omfattet – ikke kun de systemer, der direkte understøtter den kritiske tjeneste. Det betyder ikke at man skal implementere samme niveau af sikkerhed overalt i virksomheden, men tage en risikobaseret tilgang til det og se på de systemer/tjenester der anvendes. Her skal man også vurdere virksomheden jurisdiktioner, og her kan de forskellige NIS2-krav (national implementering) være forskellige. F.eks. hvis en virksomhed både har jurisdiktioner i Danmark, mens en anden enhed i virksomheden ligger i et andet land og kan være omfattet af andre NIS2-krav for det pågældende land.
Særlige regler for digitale udbydere og koncerner: Hovedforretningsprincippet betyder, at én koncernenhed kan være omfattet af flere landes NIS2-implementeringer. Dette gælder f.eks. cloud-, datacenter- og MSSP-udbydere.
Enheder kan være omfattet uanset størrelse: Hvis de leverer samfundskritiske tjenester eller vurderes at have national eller regional betydning. Dette kunne f.eks. være finansielle eller tekniske tjenester.
Centrale pointer fra vejledningen om ledelsens rolle:
Ledelsen er ansvarlig: Bestyrelse og direktion har kollektivt ansvar for cybersikkerheden og skal godkende sikkerhedsforanstaltninger (§7, stk. 1). Opgaver kan uddelegeres, men ikke ansvaret.
Krav til kompetencer og træning: Ledelsen skal deltage i relevante kurser om cybersikkerhed og risikostyring, og tilskynde til uddannelse af medarbejdere (§7, stk. 2).
Tilsynspligt: Ledelsen skal aktivt føre tilsyn med, at cybersikkerhedsforanstaltningerne gennemføres og virker efter hensigten – f.eks. via ledelsesrapporter, intern revision eller ekstern evaluering.
Sanktioner: Manglende opfyldelse af ledelsesforpligtelser kan føre til personlige sanktioner jf. §23.
Hvordan bør du som virksomhed og myndighed forholde dig?
For at leve op til NIS2-lovens krav anbefales det, at organisationer allerede nu påbegynder de nødvendige forberedelser.
Første skridt er at vurdere, om organisationen er omfattet af lovgivningen. Det kræver en gennemgang af sektortilhørsforhold, størrelse og eventuelle funktioner af samfundsmæssig betydning. Er der tvivl, bør man søge vejledning hos den relevante sektoransvarlige myndighed.
Forankring og forberedelse i praksis
Dernæst bør cybersikkerhed forankres strategisk og operationelt i ledelseslaget. Bestyrelse og direktion skal tage aktivt ejerskab og etablere faste beslutningsfora, hvor cybersikkerhedsforanstaltninger drøftes, godkendes og dokumenteres. Ledelsen skal også selv opnå tilstrækkelig viden om risikostyring – f.eks. gennem deltagelse i relevante kurser og uddannelsesforløb.
Organisationen bør gennemføre eller opdatere eksisterende risikovurderinger, handlingsplaner og sikkerhedspolitikker. Det anbefales at anvende anerkendte standarder som f.eks. ISO/IEC 27001:2022, som nævnes i lovens forarbejder som en mulig ramme for efterlevelse.
Endelig skal organisationer forberede den lovpligtige registrering hos den relevante myndighed inden ikrafttrædelsesdatoen. Derudover bør processer for hændelseshåndtering og leverandørstyring tilpasses de nye krav.
Så hvad bør du gøre nu?
For at imødekomme de nye krav anbefaler vi, at virksomheder og myndigheder gør følgende:
- Gennemfører en NIS2-compliancevurdering for at identificere huller i nuværende cybersikkerhedsforanstaltninger.
- Etablerer en hændelsesrapporteringstræning for at sikre korrekt indrapportering til CFCS.
- Opdaterer leverandøraftaler for at inkludere NIS2-krav.
- Forankrer ledelsesansvar ved at sikre, at direktører og bestyrelser er informeret og uddannet.
- Kraftigt vurderer en implementering af ISO 27001:2022, som anvises i lovteksten, for at sikre compliance.
Tid er en kritisk faktor, og det er afgørende, at forberedelserne intensiveres i de kommende måneder.