Implementeringsloven blev fremsat af forsvarsministeriet den 5. juli 2024. Heri fremgår det, at ikrafttrædelsesdatoen er sat til den 1. marts 2025. Fristen for implementering er dog den 17. oktober 2024. Danmark er således 5 måneder forsinket.
Af Christian Zeeberg Madsen, advokat (H), partner
NIS 2-direktivet – hvad er det?
NIS 2-direktivet (EU-direktiv 2022/2555) ophæver det forhenværende NIS 1-direktiv og skal sikre et højt cybersikkerhedsniveau i EU.
Direktivet har til formål at styrke og sikre en ensartethed i cybersikkerheden over for cybertrusler på tværs af medlemsstaterne. NIS 2-direktivet gælder for virksomheder blandt forskellige sektorer (herunder bl.a. transport, energi og sundhed), og for offentlige virksomheder, som har en vigtig rolle i samfundet og for økonomien.
Direktivets implementering i dansk ret
Det danske lovforslag lægger op til, at NIS 2-direktivet skal minimumsimplementeres.
Implementeringen af direktivet sker gennem rammelovgivning, hvilket indebærer en hovedlov, samt at der sideløbende bliver indført sektorspecifik lovgivning, i form af bekendtgørelse udstedt af ressortministerierne inden for tele-, energi- og finanssektoren. Det er forsvarsministeriet, som har fremsat den tværsektorielle hovedlov, som skal danne rammen for implementering. Det er Center for Cybersikkerheden, som skal facilitere et samarbejde mellem ressortministerierne.
På nuværende tidspunkt er det kun finanssektorens NIS 2 forpligtelser, som er trådt i kraft ved lov. Energisektorens lovforslag er fremsat, og forventes at træde i kraft den 1. januar 2025, mens telesektorens på nuværende tidspunkt ikke har et sektorspecifikt lovforslag.
Hvilke sektorer er omfattet af NIS 2-direktivet?
For at din virksomhed er omfattet af NIS 2-direktivets krav, skal din virksomhed opfylde følgende 3 betingelser:
Først og fremmest skal man vurdere, om virksomheden falder under de sektorer, der fremgår af bilag 1 og 2 i direktivet.
I bilag 1, fremgår de sektorer, som er af særlig kritisk betydning:
- Energi (a. elektricitet, b. fjernvarme og fjerkøling, c. olie, d. gas, e. brint),
- transport (a. luft, jernbane, c. vand, d. vejtransport),
- bankvirksomhed,
- finansielle markedsinfrastrukturer,
- sundhed,
- drikkevand,
- spildevand,
- digital infrastruktur,
- forvaltning af IKT – tjenester (B2B),
- offentlig forvaltning og
- rummet.
Af bilag 2 fremgår andre kritiske sektorer:
- post og kurertjenester,
- affaldshåndtering,
- fremstilling, produktion og distribution af kemikalier,
- produktion, tilvirkning og distribution af fødevarer,
- fremstilling (a. fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik, b. fremstilling af computere og elektroniske og optiske produkter, c. fremstilling af elektrisk udstyr, d. fremstilling af maskine og udstyr i.a.n., e. fremstilling af motorkøretøjer, påhængsvogne og sættevogne, f. fremstilling af transportmidler),
- digitale udbydere og
- forskning.
Dernæst skal man kunne konkludere, at virksomheden er etableret i EU, og for at falde under implementeringsloven; at virksomheden er etableret i Danmark.
Slutteligt skal virksomheden overstige minimumskravene for SMV’er.
Opfylder virksomheden ovenstående tre betingelser, er din virksomhed omfattet implementeringsloven.
Kan din virksomhed forberede sig?
NIS 2-direktivet medfører, at man som virksomhed skal registrere sig som en væsentlig eller vigtig enhed.
En væsentlig enhed vil efter implementeringsloven være virksomheder, der falder under de sektorer, der fremgår af bilag 1. Derimod vil enheder, som ikke opfylder kriterierne for væsentlige enheder, som udgangspunkt karakteriseres som vigtige enheder.
De to enheder er som udgangspunkt reguleret af de samme regler. Sondringen mellem de to enheder har betydning i relation til tilsyn, samt de håndhævelsesmuligheder, der er over for enhederne.
Kriterierne til enhederne fremgår nærmere beskrevet i lovforslaget.
Kravene, som din virksomhed skal leve op til, vil fremgå nærmere i sektorbekendtgørelserne, som træder i kraft samtidig med hovedloven, som nævnt ovenfor. Indtil da kan din virksomhed forberede sig ved at orientere sig i NIS 2-direktivet.
Har du eller din virksomhed spørgsmål hertil, er du/I velkomne til at kontakte os.