NIS2-direktivet: EU's cybersikkerhedslovgivning

NIS2 skærper kravene til styring af digitale risici

NIS2 er en del af et omfattende EU-lovprogram indenfor data, teknologi og infrastruktur, der bliver udrullet i de kommende år. Lovprogrammet vil være tværsektorielt som for eksempel NIS2, sektorspecifikt som for eksempel DORA og teknologi- og produktspecifikt som AI og IoT.

Kort fortalt omfatter NIS2 og hovedparten af de andre lovgivningstiltag skærpede krav til styring af digitale risici i en lang række danske virksomheder og deres ledelsesorganer. Reglerne får en afsmittende effekt på hele forsyningskæden og sætter en streg under det ansvar, som professionelle ledelsesmedlemmer har for at godkende og føre tilsyn med cyberrisici. 

Reglerne vil i praksis indebære et behov for, at ledelse og organisation dels forstår den konkrete cybertrussel i kontekst af virksomhedens samlede omstændigheder, dels iværksætter passende, effektive skridt på et veloplyst grundlag.

Hvad er NIS2?

NIS2 vedrører beskyttelse af “net- og informationssystemer”. Det vil sige beskyttelse af alle de fysiske og ikke-fysiske komponenter og tjenester, der bliver brugt til at behandle data og informationer over internettet, og som udgør fundamentet for enhver digitalt understøttet virksomhed.

Hvilke formål har NIS2?

Formålet med NIS2 er at øge cyberrobustheden i et bredere sæt af virksomheder, der opererer på tværs af flere sektorer og derigennem at bidrage til at øge samfundets resiliens i bred forstand.

NIS2 afløser det eksisterende direktiv om net- og informationssikkerhed fra 2018 (NIS1), der samtidig bliver ophævet per 18. oktober 2024. NIS1 var det første vigtige lovgivningsmæssige tiltag på cybersikkerhedsområdet, men det viste sig hurtigt utilstrækkeligt. Udviklingen i den digitale transformation, de globale cyberkapaciteter og den geopolitiske situation viser, hvor sårbare Danmarks samfundsfunktioner, kritiske infrastruktur og virksomheder er overfor digitale trusler.

Cyberangreb er i dag en central del af trusselsbilledet for alle organisationer, uanset størrelse, industri og formål. Antallet af cyberangreb mod organisationer og virksomheder er på et permament højt niveau. Samtidig er mange virksomheder betydeligt mere sårbare og har et lavere sikkerhedsniveau, end de og deres ledelse er klar over. Årsagerne kan ofte koges ned til utilstrækkelig (erfaring med) styring af cyberrisici og manglende viden og standardisering på området. Det skal NIS2 blandt andet rette op på. 

Hvem er omfattet af NIS2?

De enheder, der direkte bliver omfattet af NIS2, er opdelt i “væsentlige” og “vigtige” enheder. Sidstnævnte bliver underlagt lempeligere tilsyns- og sanktionsregler.

Som udgangspunkt er virksomheder og offentlige forvaltningsenheder underlagt NIS2's anvendelsesområde, hvis de opererer indenfor én af sektorerne i tabellen nedenfor og samtidig:

1. ikke er små virksomheder eller mikrovirksomheder (det vil sige virksomheder med under 50 ansatte og en årlig omsætning eller en samlet årlig balance på ikke over 10 mio. EUR)
2. ikke udfører deres aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse. 

Folketinget og Nationalbanken er også undtaget.

Sektorer omfattet af NIS2's anvendelsesområde

Omfattede enheder kommer på en "NIS2-liste" hos myndighederne

De danske myndigheder skal udarbejde en liste over virksomheder og myndigheder, der bliver direkte omfattet af NIS2. Listen skal indberettes til EU (Kommissionen og NIS2-samarbejdsgruppen) senest den 17. april 2025 - altså seks måneder efter, at direktivet træder i kraft i Danmark. Listen skal herefter opdateres med jævne mellemrum og mindst hvert andet år overfor EU. 

For at kunne lave listen skal de danske myndigheder indsamle følgende oplysninger om hver dansk virksomhed, der er underlagt NIS2: 

1. Navn, adresse og kontaktoplysninger (inklusiv e-mails, IP-intervaller og telefonnumre)
2. Virksomhedens sektor/delsektor
3. EU-lande, hvor virksomheden har NIS2-omfattede koncernselskaber.

Ved efterfølgende ændringer skal virksomhederne straks og senest indenfor to uger (tre måneder for digitale leverandører) underrette de danske myndigheder. "NIS2-listen" er med andre ord et dynamisk og løbende arbejde at vedligeholde. 

Q&A til "NIS2-listen"

Der er mange praktiske spørgsmål til "NIS2-listen" i markedet. Nedenfor har vi oplistet nogle af de mest hyppige spørgsmål med tilhørende svar baseret på, hvad vi konkret ved – og ikke ved – i dag:

1. Hvor mange virksomheder bliver omfattet af NIS2?

Svar: Det ved vi endnu ikke med sikkerhed. Forskellige kilder anslår, at et sted mellem 1.500 - 5.000 danske virksomheder og myndigheder bliver identificeret som “væsentlige” og “vigtige” enheder under NIS2, og at størstedelen vil være indenfor sektorerne: energi (især elektricitet), digital infrastruktur, fremstilling (især medicinsk udstyr og transportmidler) og fødevarer (engrosdistribution og industriel produktion og tilvirkning). 

2. Skal vi selv vurdere, om vi er omfattet af NIS2, eller bliver vi "udpeget" af de danske myndigheder?

Svar: Vi kender ikke praktikken endnu. Det bliver vi klogere på, når vi har set udkast til de nye lovforslag og bekendtgørelser i det, vi forventer bliver oktober 2024. Det er dog muligt, at det bliver en blanding af udpegning, indberetningsinstruks og egen registrering med relevant variation mellem sektorerne.

Vi anbefaler derfor, at hver virksomhed uanset hvad: 

• selv foretager en vurdering af, om den falder indenfor NIS2-scope, det vil sige, om a) den falder ind under én eller flere af NIS2's aktivitetssektorer, se oversigten herunder, og b) ligger over det generelle størrelsesloft på mindst 50 ansatte/10 mio. EUR (det størrelsesrelaterede minimumskrav er dog ikke absolut)

• selv foretager en vurdering af, om den vil blive klassificeret som en "væsentlig" eller "vigtig" enhed (dette har betydning for tilsyns- og sanktionsregimet under NIS2)
• forbereder sig på at skulle foretage en form for registrering eller indberetning overfor myndighederne i H1 2024 i relation til NIS2-listen. Det kan potentielt også omfatte en indberetning eller bekræftelse af antal medarbejdere og omsætning udover oplysninger som navn, kontakter, IP-intervaller mv. 

3. Er vi kun omfattet af NIS2, hvis vi kommer på "listen"?

Svar: Ja, men husk at listen er dynamisk og løbende bliver opdateret. Det vil sige, at selvom I ikke er direkte omfattet i 2024, fordi I er under størrelsesloftet (mindst 50 ansatte/10 mio. EUR), kan I godt blive omfattet senere, hvis I rammer størrelsesloftet (og falder indenfor aktivitetssektorerne). 

4. Bliver listen offentliggjort inden NIS2-direktivets ikrafttræden? Kan det betale sig at vente på den? 

Svar: Det eneste, vi p.t. ved, er at de danske myndigheder skal sende en liste med danske NIS2-enheder til EU, og det sker første gang senest den 17. april 2025. Vi ved endnu ikke hvornår og hvordan, de danske myndigheder vil udarbejde listen. Det manglende overblik er noget, erhvervslivet har kritiseret flere gange. Det er i alles interesse at have scopet afklaret så tidligt som muligt. Realiteten er dog, at de virksomheder, der bliver omfattet af NIS2, ikke kan vente på at modtage en liste, uanset hvornår den kommer, før de begynder at analysere og forholde sig til kravene. For mange organisationer er det allerede tidspresset, hvis de ikke er startet op i 2023.

Vores råd er derfor: Lad være at vente på "listen", hvis det ikke er usandsynligt, at jeres virksomhed falder indenfor NIS2-scopet.

5. Får NIS2 kun betydning for dem, der er direkte omfattet?

Svar: Den reelle betydning af NIS2 kan ikke opgøres i antallet af virksomheder, der direkte bliver omfattet af reglerne. Det skyldes dels, at NIS2 vil få en afsmittende effekt på hele værdi- og forsyningskæden. Det vil det, idet virksomheder, der bliver omfattet af kravene, forventeligt vil videreføre kravene helt/delvist til leverandører og kunder, herunder i forhold til minimumforanstaltninger, rapportering, audit og ansvar.

NIS2's betydning kan heller ikke blive opgjort i antal omfattede virksomheder, fordi kravene langt hen ad vejen er udtryk for god skik, der i praksis vil blive fulgt – og vil blive forventet at blive fulgt – mere bredt i markedet. Det er derfor fornuftigt at orientere sig mod NIS2-kravene, uanset om din virksomhed er direkte omfattet af NIS2 eller ej.

Risikostyring af cybersikkerhed er ofte ikke strategisk forankret blandt ledelsen 

Den primære udfordring med NIS2 er, at risikostyring på cybersikkerhedsområdet ofte ikke er godt nok forankret strategisk på ledelsesniveau. Sikring af et ordentligt cyberforsvar er meget langt fra en opgave, der skal løftes af IT/sikkerhedsafdelingen eller Chief Information Security Officeren (CISO'en). Ansvaret for at rammesætte arbejdet med cybersikkerhed og at godkende og føre tilsyn med cyberrisici begynder og slutter hos direktion og bestyrelse.

Vi er medforfattere på Bestyrelsesforeningens vejledning om cybersikkerhed og International Bar Associations (IBA) rapport om Globale perspektiver på beskyttelse mod cyberrisici, der giver konkrete anbefalinger til god praksis indenfor cybersikkerhed. De bygger dels på viden og erfaring blandt nogle af de mest kompetente eksperter på det danske marked, dels på en analyse af 10 forskellige landes tilgang til cybersikkerhed, herunder USA, England, Israel, Singapore og Australien.

Få opsummeret de vigtigste pointer fra IBA-rapporten i et afsnit af podcastserien "Magtens Tredeling", hvor partner Søren Skibsted er gæst:

Både den danske og den internationale vejledning giver et bredt funderet grundlag for at identificere de tiltag, som i dansk og international kontekst bliver anset for god praksis. De giver dermed grundlag for en passende cyberbeskyttelse og vil være tjenlige skridt mod overholdelse af den kommende digitale regulering, herunder NIS2.

NIS2 i Danmark

NIS2-direktivet skal nærmere blive udfyldt og konkretiseret i dansk ret gennem nye og opdaterede love, bekendtgørelser, vejledninger og standarder.

I Danmark er NIS-direktivet – som følge af sektoransvarsprincippet – implementeret i sektorvise love og bekendtgørelser under de respektive ressortministerier. Den sektorvise implementering fortsætter sandsynligvis med NIS2-direktivet.

Der pågår en analysefase med henblik på at beslutte, hvordan NIS2 konkret skal implementeres i Danmark. Det kan eksempelvis ske i form af en ren sektorvis implementering med sektorvise lovgivninger og tilsynsmyndigheder. Dét vil dog give 16-18 ressortministerier, hvor hvert enkelt ministerium skal fastsætte krav og føre tilsyn inden for egen sektor. Alternativet er en mere centraliseret implementering, eksempelvis med en rammelovgivning og et fælles tilsynskoncept fordelt mellem færre tilsynsmyndigheder.

Lovforslag fremsættes til oktober 2024

Ifølge regeringens lovprogram skulle der fremsættes lovforslag til implementering af NIS2-direktivet i februar 2024 (den 21. februar 2024). Imidlertid er arbejdet med at implementere NIS2-direktivet i dansk lovgivning blevet forsinket, og lovforslaget er derfor blevet planlagt fremsat i oktober 2024 med ikrafttræden 1. januar 2025. Det betyder samtidig, at Danmark kommer til at overskride den implementeringsfrist, der er fastsat til den 17. oktober 2024.
Udkast til nye sektorvise bekendtgørelser følger formentlig i sidste halvdel af 2024 og vil træde i kraft samtidig med loven. Parallelt med det og efterfølgende kommer der til at være et arbejde med at udarbejde vejledninger, foreslå standarder og indføre certificeringsordninger.

Lovprocessen betyder, at informationer kommer drypvist, og at der kommer et tidspres på virksomheder og myndigheder allerede i første halvår 2024. Dét er en god grund til at starte forberedelsesarbejdet tidligt, så man ikke i 11. time kommer i gang med gapanalyser, risikovurderinger, interne godkendelser, identifikation af forbedringsområder, kontraktforhandlinger mv. 

Pejlemærker og observationspunkter til NIS2-compliance

For private virksomheder er NIS2 langt hen ad vejen udtryk for best practices indenfor cybersikkerhed – tilsat et ikke-uvæsentligt rapporterings- og sanktionsregime. Så selvom vi langt fra kender alle detaljer i den kommende NIS2-lovgivning endnu, er det muligt at opstille flere relevante pejlemærker og observationspunkter ud fra markedsstandard og best practices. 

Vi har oplistet eksempler på sådanne pejlemærker og observationspunkter, som virksomheder, herunder ledelsen og de ansvarlige for sikkerhed, risikostyring, jura og compliance, med fordel kan orientere sig i allerede nu.

Få det fulde indblik

Få et detaljeret indblik i pejlemærkerne og observationspunkterne, din virksomhed bør kende til allerede nu. Download det nedenfor:

Ledelsesansvar for cybersikkerhed

I Danmark er ledelsens ansvar for cybersikkerhed først og fremmest baseret på et civilretligt ansvar. Herefter kan direktør, et bestyrelsesmedlem eller en anden person, der reelt forestår ledelse af/i virksomheden, ifalde erstatningsansvar, hvis personen har handlet uagtsomt. Det kan for eksempel være ved manglende overholdelse af reglerne i selskabsloven om etablering af "fornødne procedurer for risikostyring og interne kontroller". 

Ansvarsnormen, som ledelsesmedlemmer bliver vurderet efter, følger dansk rets almindelige culpaansvar. Culpabedømmelsen er baseret på en adfærdsstandard, og den er dermed relativ. Standarden stiller overordnet krav om en "forsvarlig adfærd", der ikke er "uagtsom". 

Ved bedømmelsen af, om der er handlet culpøst, vil den grundlæggende ansvarsnorm være en pligt til at præstere en god faglig indsats. Det vil sige en indsats, der opfylder de krav, man kan stille til et professionelt ledelsesmedlem i den pågældende type virksomhed.

I teori og retspraksis er det anerkendt, at domstolene er tilbageholdende med at tilsidesætte beslutninger, der hviler på et forretningsmæssigt skøn. Dét er også kendt som "Business Judgment Rule". 

Business Judgement Rule

Business Judgment Rule indebærer, at der er en bred margin for ledelsens forretningsmæssige handlinger, forudsat at de er baseret på et forsvarligt beslutningsgrundlag. Hvis et forretningsmæssigt skøn således er truffet på et forsvarligt beslutningsgrundlag, er det ikke ansvarspådragende, selvom beslutningen senere viser sig at være forkert eller ugunstig, medmindre der er tale om et alvorligt fejlskøn.

Konsekvenser af ikke at overholde NIS2 

Sanktionsregimet i NIS2 er omfattende men er først og fremmest et tydeligt signal om, at virksomheder og deres ledelsesorganer skal tage cybersikkerhed alvorlig. De skal håndtere cyberrisici strategisk på linje med andre forretnings- og samfundskritiske risici.

De beføjelser, tilsynsmyndighederne bliver tildelt under NIS2 ved overtrædelse af direktivets krav til risikostyring og rapportering, omfatter som minimum:

For de væsentlige enheder Dækker omfattende forudgående og efterfølgende tilsynsordning.	For de vigtige enheder Dækker lettere efterfølgende tilsynsordning.	For ledelsesmedlemmer Gælder også bestyrelses- og direktionsmedlemmer.
Niveau 1: Kontroller, sikkerhedsaudits og sikkerhedsscanninger Oplysninger, data og dokumenter Advarsler, instrukser, påbud og forbud Indsættelse af en overvågningsansvarlig Offentliggørelse af overtrædelser Administrative bøder: maksimum mindst 10 mio. EUR mindst 2 % af den samlede globale årsomsætning i det foregående regnskabsår.	Niveau 1: Kontroller, sikkerhedsaudits og sikkerhedsscanninger Oplysninger, data og dokumenter Advarsler, instrukser, påbud og forbud Pligt til underretning af kunder om væsentlig cybertrusler  Gennemføre anbefalinger fra en sikkerhedsaudit Offentliggørelse af overtrædelser Administrative bøder: maksimum mindst 7 mio. EUR eller mindst 1,4 % af den samlede globale årsomsætning i det foregående regnskabsår.	Niveau 1: Ledelsesansvarlige skal kunne drages til ansvar for overtrædelse af deres forpligtelse til at sikre overholdelse af NIS2 i henhold til dansk rets gældende regler om ledelsesansvar.
Niveau 2: Midlertidig suspension af services Midlertidigt forbud mod ledelsesfunktioner (direktionsniveau).	Intet niveau 2	Intet niveau 2

 Gode råd til at forberede jer på NIS2

• Nedsæt en tværfaglig styregruppe af repræsentanter og rådgivere, der dækker relevante fagområder som IT, informationssikkerhed, risikostyring, jura, compliance og indkøb/kontrakter, der er forankret på direktionsniveau.
• Udarbejd en indledende analyse, der blandt andet omfatter:

1. en gennemgang af organisationens samlede tilgang til styring af cyber/IT-risici; herunder hører en overordnet strategi, rammeværk, governance, risikovurderinger, foranstaltninger, processer, kontroller, kontrakter, forsikring og rapportering/dokumentation
2. en modenheds- og gap-analyse mellem din organisations nuværende tiltag og de kommende krav, herunder indenfor risikostyring og rapportering
3. identifikation af din organisations nuværende digitale økosystem og væsentlige primært digitale leverandører. Herunder hører krav til jeres risikostyring, sikkerhed og ansvar i kontrakterne
4. identifikation af, hvilke af din organisations væsentlige kunder, der også måtte blive omfattet af NIS2. Det vil være relevant for at vurdere mulige spill-over effekter og eksponering.
5. om og på hvilket grundlag jeres direktion og bestyrelse har rammesat risikostyring indenfor cybersikkerhed. Herunder skal I afdække risikoforståelse, risikoappetit, delegering, operationalisering og kontrol.

• Udarbejd en rapport med konkrete og operationelle anbefalinger for at sikre compliance og passende cyberrobusthed både internt og overfor kunder og leverandører. Lav også et overblik over anslået budget og investeringer.
• Gennemfør en ledelsesbeslutning og etablering af en plan for strategiske indsatsområder og tiltag, I kan gennemføre i 2023-2024.

Relateret indhold