NIS2-lovgivningen træder i kraft den 1. juli - Er du klar?

Den danske implementering af NIS2-direktivet nærmer sig sin endelige vedtagelse. Fra 1. juli 2025 træder de skærpede cybersikkerhedskrav i kraft for både private virksomheder og offentlige myndigheder, herunder kommuner og regioner. Med tre måneder til ikrafttrædelsen står mange organisationer over for betydelige udfordringer i forhold til at sikre compliance med de nye lovkrav.

Med den nye lov er netsikkerhedstjenesten under Center for Cybersikkerhed (CFCS) udpeget som Danmarks nationale Computer Security and Incident Response Team (CSIRT) med ansvar for at overvåge og håndtere cybersikkerhedshændelser samt fungere som nationalt kontaktpunkt i EU’s cybersikkerhedsnetværk. Dette er i øvrigt uændret fra NIS1. Hændelser skal altså rapporteres til både den kompetente myndighed samt CSIRT.

CFCS’ nye organisatoriske placering betyder, at det fra 29. januar 2025 blev en del af Styrelsen for Samfundssikkerhed under Ministeriet for Samfundssikkerhed og Beredskab, hvilket styrker koordineringen af cybersikkerhed på tværs af sektorer.

De vigtigste ændringer i forhold til tidligere dansk lovgivning

Udvidet anvendelsesområde:

  • Kommuner og regioner er nu omfattet af lovgivningen, hvis de opfylder de økonomiske tærskler nævnt i §4, stk. 2.
  • Flere sektorer, herunder digital infrastruktur, vandforsyning og offentlige tjenester, er blevet inddraget.
  • I direktivet lagde man op til, at organisationer med 50 ansatte og 10 mio. euro i omsætning eller balance var omfattet. NIS2-loven definere nu et ELLER, så det enten er 50 ansatte eller mere end 10 mio. euro i omsætning. Det udvider anvendelsesområdet signifikant.

Øgede krav til ledelsesansvar:

  • Direktører og bestyrelsesmedlemmer har nu personligt ansvar for, at deres organisation overholder NIS2-kravene.
  • Ledelsen skal gennemføre cybersikkerhedstræning og godkende sikkerhedspolitikker (§7).

Strammere krav til hændelsesrapportering:

  • Indrapportering af hændelser skal ske trinvis til CFCS:
    • 24 timer: Tidlig varsling.
    • 72 timer: Hændelsesunderretning med foreløbig vurdering.
    • 1 måned: Endelig rapport.
  • CFCS fungerer som national CSIRT og kontaktpunkt for EU-samarbejde.

Nye krav til leverandørstyring og forsyningskæder:

  • Virksomheder og myndigheder skal kunne dokumentere, at deres leverandører overholder NIS2-kravene.
  • Der stilles øgede krav til kryptering, backup og adgangskontrol i leverandøraftaler (§6, stk. 1, nr. 4).

Sanktioner og håndhævelse:

  • Tilsynsmyndigheder kan udstede påbud, bøder og sanktioner for manglende overholdelse (§35-38).
  • Der er risiko for betydelige økonomiske sanktioner, hvis kravene ikke implementeres rettidigt.

 

Udfordringer for virksomheder og kommuner tre måneder før ikrafttræden

Mange organisationer står overfor betydelige udfordringer med at sikre overholdelse af lovkravene:

  • Manglende ressourcer: Implementering af de nye krav kræver både tekniske og organisatoriske investeringer.
  • Utilstrækkelig risikostyring: Mange enheder har endnu ikke etableret den nødvendige cybersikkerhedsgovernance.
  • Leverandørafhængigheder: Forsyningskædesikkerhed kræver omfattende opdateringer af kontrakter og kontrolmekanismer.
  • Stram tidsplan: Med tre måneder til ikrafttrædelsen skal mange organisationer accelerere deres implementeringsplaner.

 

Hvad bør du som organisation gøre nu?

For at imødekomme de nye krav anbefaler vi, at virksomheder og myndigheder:

  1. Gennemfører en NIS2-compliancevurdering for at identificere huller i nuværende cybersikkerhedsforanstaltninger.
  2. Etablerer en hændelsesrapporteringstræning for at sikre korrekt indrapportering til CFCS.
  3. Opdaterer leverandøraftaler for at inkludere NIS2-krav.
  4. Forankrer ledelsesansvar ved at sikre, at direktører og bestyrelser er informeret og uddannet.
  5. Kraftigt vurderer en implementering af ISO 27001:2022, som anvises i lovteksten, for at sikre compliance.

Med tre måneder til ikrafttrædelsen står mange organisationer over for betydelige udfordringer i forhold til at sikre compliance med de nye lovkrav."

René Matthiassen, IT-sikkerhedsekspert og partner i Frontdoor Security ApS