NIS2-direktivet
NIS-direktivet — den første EU-lovgivning om cybersikkerhed — er det første horisontale instrument for det indre marked, der har til formål at forbedre net- og informationssystemernes modstandsdygtighed over for cybersikkerhedsrisici i Unionen. På trods af de bemærkelsesværdige resultater har NIS-direktivet vist visse begrænsninger. Den digitale omstilling af samfundet, som blev intensiveret af covid-19-krisen, har udvidet trusselsbilledet. Der er opstået nye udfordringer, som kræver tilpassede og innovative svar.
For at kunne analysere virkningerne og identificere manglerne ved NIS-direktivet gennemførte Kommissionen en omfattende høring af interessenter. Kommissionen identificerede følgende hovedspørgsmål:
- utilstrækkelig cyberrobusthed hos virksomheder, der opererer i EU
- inkonsekvent modstandsdygtighed på tværs af medlemsstater og sektorer
- utilstrækkelig fælles forståelse af de vigtigste trusler og udfordringer blandt medlemsstaterne
- mangel på fælles kriserespons.
Som følge heraf og for at reagere på de voksende trusler som følge af digitalisering og indbyrdes forbundethed foreslog Kommissionen i december 2020 et revideret sæt fremtidssikrede regler med henblik på at styrke cyberrobustheden i Unionen, som medlovgiverne nåede til politisk enighed om den 13. maj 2022 og formelt vedtog det nye direktiv i slutningen af november 2022.
Siden covid-19-krisen er den europæiske økonomi blevet mere afhængig af digitale løsninger end nogensinde før. Sektorer og tjenester bliver stadig mere indbyrdes forbundne og indbyrdes afhængige. Dette har resulteret i et voksende og hastigt voksende trusselsbillede for cybersikkerhed: enhver forstyrrelse, selv om den i første omgang er begrænset til én enhed eller en sektor, kan have kaskadevirkninger mere bredt, hvilket potentielt kan få vidtrækkende og langvarige negative virkninger for leveringen af tjenesteydelser i hele det indre marked.
Covid-19-pandemien har vist, at vores stadig mere indbyrdes afhængige samfund er sårbare over for uventede risici. Det intensiverede de allerede nye spørgsmål i det nuværende NIS-direktiv og fungerede som katalysator for dets revision. En konkret ændring af NIS-direktivet i lyset af denne krise var at udvide anvendelsesområdet for det nye direktiv til at omfatte mere specifikke elementer i sundhedssektoren, f.eks. enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler.
NIS2-direktivet indeholder retlige foranstaltninger til at øge det overordnede cybersikkerhedsniveau i EU med henblik på at bidrage til det indre markeds overordnede funktion. Den bygger på de tre hovedsøjler, der var grundlaget for NIS1-direktivet:
- Med udgangspunkt i NIS1-strategien for sikkerheden i net- og informationssystemer for at opnå et højt beredskabsniveau i medlemsstaterne kræves det i NIS2-direktivet, at medlemsstaterne vedtager en national cybersikkerhedsstrategi. Medlemsstaterne skal også udpege nationale IT-sikkerhedsberedskabshold (CSIRT'er), som er ansvarlige for håndtering af risici og hændelser, en kompetent national cybersikkerhedsmyndighed og et centralt kontaktpunkt (SPOC). SPOC skal udøve en forbindelsesfunktion for at sikre grænseoverskridende samarbejde mellem medlemsstaternes myndigheder med de relevante myndigheder i andre medlemsstater og, hvor det er relevant, med Kommissionen og ENISA samt for at sikre tværsektorielt samarbejde med andre kompetente myndigheder i dens medlemsstat.
- NIS2-direktivet viderefører også NIS1-rammen om oprettelse af NIS-samarbejdsgruppen for at støtte og lette strategisk samarbejde og udveksling af oplysninger mellem medlemsstaterne og CSIRT-netværket, som fremmer et hurtigt og effektivt operationelt samarbejde mellem nationale CSIRT'er.
- NIS1-direktivet sikrer, at der træffes cybersikkerhedsforanstaltninger på tværs af syv sektorer, som er afgørende for vores økonomi og samfund, og som er stærkt afhængige af IKT, såsom energi, transport, bankvæsen, finansielle markedsinfrastrukturer, drikkevand, sundhedspleje og digital infrastruktur.
Offentlige og private enheder, som medlemsstaterne har udpeget som operatører af væsentlige tjenester i disse sektorer, skal foretage en cybersikkerhedsrisikovurdering og indføre passende og forholdsmæssige sikkerhedsforanstaltninger. De skal anmelde alvorlige hændelser til de relevante myndigheder. Desuden skal udbydere af centrale digitale tjenester (udbydere af digitale tjenester eller udbydere af digitale tjenester), såsom søgemaskiner, cloud computing-tjenester og onlinemarkedspladser, også opfylde kravene til sikkerhed og underretning i henhold til direktivet. Samtidig er sidstnævnte underlagt en såkaldt "light-touch" reguleringsordning, hvilket indebærer, at disse enheder ikke er underlagt forudgående tilsynsforanstaltninger.
NIS2-direktivet udvider sektorernes anvendelsesområde betydeligt og indfører en størrelsestærskel for at definere, hvilke enheder der falder ind under dets anvendelsesområde, og vil være forpligtet til at indberette væsentlige cybersikkerhedshændelser til de nationale kompetente myndigheder.
NIS2-direktivet har til formål at afhjælpe manglerne i de tidligere regler, tilpasse det til de nuværende behov og gøre det fremtidssikret.
Med henblikherpå udvider direktivet anvendelsesområdet for de tidligere regler ved at tilføje nye sektorer baseret på deres grad af digitalisering og indbyrdes forbundethed, og hvor afgørende de er for økonomien og samfundet, ved at indføre en regel om en klar størrelsestærskel, hvilket betyder, at alle mellemstore og store virksomheder i udvalgte sektorer vil blive omfattet af anvendelsesområdet. Samtidig overlader det medlemsstaterne visse skønsbeføjelser til at identificere mindre enheder med en høj sikkerhedsrisikoprofil, som også bør være omfattet af forpligtelserne i det nye direktiv.
Det nye direktiv fjerner også sondringen mellem operatører af væsentlige tjenester og udbydere af digitale tjenester. Enheder vil blive klassificeret på grundlag af deres betydning og opdelt i to kategorier: væsentlige og vigtige enheder, som vil blive underlagt forskellige tilsynsordninger.
Det styrker og strømliner sikkerheds- og rapporteringskravene for virksomheder ved at indføre en risikostyringstilgang, som indeholder en minimumsliste over grundlæggende sikkerhedselementer, der skal anvendes. Det nye direktiv indfører mere præcise bestemmelser om processen for indberetning af hændelser, indholdet af indberetningerne og tidsfristerne.
Desuden omhandler NIS2 sikkerheden i forsyningskæder og leverandørrelationer ved at kræve, at de enkelte virksomheder håndterer cybersikkerhedsrisici i forsyningskæderne og leverandørrelationerne. På europæisk plan styrker direktivet cybersikkerheden i forsyningskæden for centrale informations- og kommunikationsteknologier. Medlemsstaterne kan i samarbejde med Kommissionen og ENISA foretage koordinerede sikkerhedsrisikovurderinger på EU-plan af kritiske forsyningskæder på grundlag af den vellykkede tilgang, der er valgt i forbindelse med Kommissionens henstilling om cybersikkerhed i 5G-net.
Direktivet indfører strengere tilsynsforanstaltninger for de nationale myndigheder, strengere håndhævelseskrav og har til formål at harmonisere sanktionsordninger på tværs af medlemsstaterne.
Det styrker også samarbejdsgruppens rolle i udformningen af strategiske politiske beslutninger og øger udvekslingen af oplysninger og samarbejdet mellem medlemsstaternes myndigheder. Det styrker også det operationelle samarbejde inden for CSIRT-netværket og opretter det europæiske netværk af cyberkriseforbindelsesorganisationer (EU-CyCLONe) for at støtte den koordinerede håndtering af omfattende cybersikkerhedshændelser og -kriser.
NIS2 etablerer også en grundlæggende ramme med ansvarlige nøgleaktører for koordineret offentliggørelse af sårbarheder for nyopdagede sårbarheder i hele EU og opretter en EU-database over sårbarheder, der er offentligt kendte i IKT-produkter og -tjenester, og som skal drives og vedligeholdes af EU's Agentur for Cybersikkerhed (ENISA).
NIS2 omfatter enheder fra følgende sektorer:
Sektorer med høj kritikalitet: energi (el, fjernvarme og fjernkøling, olie, gas og brint) transport (luft-, jernbane-, vand- og vejtransport) bankvirksomhed finansielle markedsinfrastrukturer sundhed, herunder fremstilling af farmaceutiske produkter, herunder vacciner drikkevand spildevand digital infrastruktur (internetudvekslingspunkter, DNS-tjenesteudbydere Topdomænenavneregistre udbydere af cloud computing-tjenester udbydere af datacentertjenester netværk til levering af indhold tillidstjenesteudbydere udbydere af offentlige elektroniske kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester Forvaltning af IKT-tjenester (administrerede tjenesteudbydere og udbydere af administrerede sikkerhedstjenester), offentlig forvaltning og plads.
Andre kritiske sektorer: post- og kurertjenester affaldshåndtering kemikalier fødevarer fremstilling af medicinsk udstyr, computere og elektronik, maskiner og udstyr, motorkøretøjer, påhængsvogne og sættevogne samt andet transportudstyr digitale udbydere (onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester) og forskningsorganisationer.
Evalueringen af de nuværende regler om indberetning af sikkerheds- og hændelser har vist, at medlemsstaterne i nogle tilfælde har gennemført disse krav på væsentligt forskellige måder. Dette har skabt en ekstra byrde for selskaber, der opererer i mere end én medlemsstat.
Når det kommer til cybersikkerhedskrav, ønsker vi desuden at være sikre på, at alle virksomheder tager fat på det nødvendige kernesæt af elementer i deres cybersikkerhedsrisikostyringspolitikker.
Derfor indeholder NIS2 en liste over 10 nøgleelementer, som alle virksomheder skal håndtere eller gennemføre som led i de foranstaltninger, de træffer, herunder hændelseshåndtering, forsyningskædesikkerhed, sårbarhedshåndtering og offentliggørelse, brug af kryptografi og, hvor det er relevant, kryptering.
Når det kommer til indberetning af hændelser, er vi nødt til at finde den rette balance mellem behovet for hurtig indberetning for at undgå den potentielle spredning af hændelser og behovet for dybdegående rapportering for at drage værdifulde erfaringer fra individuelle hændelser. Det nye direktiv indeholder bestemmelser om en flertrinstilgang til indberetning af hændelser. Berørte virksomheder har 24 timer fra det tidspunkt, hvor de første gang får kendskab til en hændelse, til at indgive en tidlig varsling til CSIRT eller den kompetente nationale myndighed, som også vil give dem mulighed for at søge bistand (vejledning eller operationel rådgivning om gennemførelsen af mulige afbødende foranstaltninger), hvis de anmoder herom. Den tidlige varsling bør efterfølges af en hændelsesmeddelelse senest 72 timer efter at have fået kendskab til hændelsen og en endelig rapport senest en måned senere.
Det nye NIS-direktiv sætter tilsyn og håndhævelse i centrum for de kompetente myndigheders opgaver og fastsætter en sammenhængende ramme for alle tilsyns- og håndhævelsesaktiviteter i medlemsstaterne.
For at styrke det tilsyn, der bidrager til at sikre effektiv overholdelse, indeholder NIS2 en minimumsliste over tilsynsmetoder, hvorigennem de kompetente myndigheder kan føre tilsyn med væsentlige og vigtige enheder. Disse omfatter regelmæssige og målrettede revisioner, kontrol på stedet og uden for stedet, anmodning om oplysninger og adgang til dokumenter eller bevismateriale.
Desuden indfører det nye direktiv en differentiering af tilsynsordninger mellem væsentlige og vigtige enheder med henblik på at sikre en rimelig balance mellem forpligtelser for både enheder og kompetente myndigheder.
Med hensyn til håndhævelse har der hidtil været en generel modvilje i medlemsstaterne mod at anvende sanktioner over for enheder, der ikke har indført sikkerhedsforanstaltninger eller indberette hændelser. Dette kan have negative konsekvenser for enhedernes cyberrobusthed. For at gøre håndhævelsen effektiv fastsætter det nye direktiv en sammenhængende ramme for sanktioner i hele Unionen. Den opstiller derfor en minimumsliste over administrative sanktioner for overtrædelse af cybersikkerhedsrisikostyrings- og rapporteringsforpligtelserne i NIS2-direktivet. Disse sanktioner omfatter bindende instrukser, påbud om at gennemføre anbefalingerne fra en sikkerhedsaudit, påbud om at bringe sikkerhedsforanstaltninger i overensstemmelse med NIS-kravene og administrative bøder. Med hensyn til administrative bøder skelner det nye NIS-direktiv mellem væsentlige og vigtige enheder. For så vidt angår væsentlige enheder kræves det, at medlemsstaterne fastsætter et vist niveau for administrative bøder, navnlig et maksimum på mindst 10 000 000 EUR eller 2 % af den samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvad der er højest. For så vidt angår vigtige enheder kræver NIS2, at medlemsstaterne fastsætter en maksimumsbøde på mindst 7 000 000 EUR eller mindst 1,4 % af den samlede globale årlige omsætning i det foregående regnskabsår, alt efter hvad der er højest.
Ved udøvelsen af deres håndhævelsesbeføjelser bør de kompetente myndigheder tage behørigt hensyn til de særlige omstændigheder i hver enkelt sag, såsom overtrædelsens art, grovhed og varighed, den forvoldte skade eller de lidte tab, overtrædelsens forsætlige eller uagtsomme karakter.
For at sikre reel ansvarlighed for cybersikkerhedsforanstaltningerne på organisatorisk plan indfører NIS2 bestemmelser om ansvar for fysiske personer, der har ledende stillinger i de enheder, der er omfattet af anvendelsesområdet for det nye NIS-direktiv.
De nye regler forbedrer den måde, hvorpå EU forebygger, håndterer og reagerer på omfattende cybersikkerhedshændelser og -kriser. Det gør de ved at indføre klare ansvarsområder, passende planlægning og mere EU-samarbejde. NIS2 kræver, at medlemsstaterne udpeger nationale myndigheder med ansvar for cyberkrisestyring, indfører nationale omfattende cybersikkerhedshændelser og -kriseberedskabsplaner og opretter det europæiske netværk af cyberkriseforbindelsesorganisationer (EU-CYCLONe) til at støtte den koordinerede håndtering af store cybersikkerhedshændelser og -kriser på operationelt plan. Dette netværk er et centralt element, der bidrager til etableringen af EU's ramme for cyberkrisestyring, som Kommissionen skitserede i 2017 med henstillingen om en koordineret reaktion på omfattende hændelser og kriser.
Som hovedregel anses væsentlige og vigtige enheder for at være underlagt jurisdiktionen i den medlemsstat, hvor de er etableret. Hvis enheden er etableret i mere end én medlemsstat, bør den henhøre under hver af disse medlemsstaters jurisdiktion. De kompetente myndigheder hver af disse medlemsstater bør samarbejde, yde gensidig bistand til hinanden og, hvor det er relevant, gennemføre fælles tilsynsforanstaltninger. Der er flere undtagelser fra denne regel:
- udbydere af offentlige elektroniske kommunikationsnet eller udbydere eller offentligt tilgængelige elektroniske kommunikationstjenester vil falde ind under jurisdiktionen i den medlemsstat, hvor de udbyder deres tjenester.
- offentlige forvaltningsenheder hører under jurisdiktionen i den medlemsstat, der har oprettet dem.
- visse typer enheder hører under jurisdiktionen i den medlemsstat, hvor de har deres hovedvirksomhed i Unionen. Disse enheder omfatter udbydere af domænenavnesystemtjenester, topdomænenavneregistre, enheder, der leverer domænenavnsregistreringstjenester, udbydere af cloud computing-tjenester, udbydere af datacentertjenester, udbydere af indholdsleveringsnetværk, administrerede tjenesteudbydere, udbydere af administrerede sikkerhedstjenester samt udbydere af onlinemarkedspladser, onlinesøgemaskiner og sociale netværksplatforme. Dette er for at sikre, at sådanne enheder ikke står over for en lang række forskellige retlige krav, da de i særlig høj grad leverer tjenesteydelser på tværs af grænserne. Med henblik på et effektivt tilsyn vil medlemsstaterne kræve, at disse typer enheder underretter bl.a., hvor enhedens hovedvirksomhed er, samt dens andre retlige virksomheder i Unionen eller, hvis den ikke er etableret i Unionen, det sted, hvor enhedens repræsentant er udpeget. ENISA vil være forpligtet til at oprette og føre et register med de oplysninger, som medlemsstaterne stiller til rådighed på dette grundlag.
EU-samarbejdet fremmes ved at give medlemsstaterne mulighed for at handle i fællesskab og tackle nye sikkerhedsrisici som følge af den igangværende digitale omstilling.
Mere specifikt vil medlemsstaterne i fællesskab kunne føre tilsyn med gennemførelsen af EU-reglerne og gensidigt bistå hinanden i tilfælde af grænseoverskridende uregelmæssigheder, have en mere struktureret dialog med den private sektor og koordinere offentliggørelse af sårbarheder i software og hardware, der sælges på tværs af det indre marked. De vil også kunne arbejde på en koordineret måde for at vurdere de sikkerhedsrisici og trusler, der er forbundet med nye teknologier, som det blev gjort for første gang med 5G.
Medlemsstaterne vil trække på EU's samarbejde om at forbedre de nationale kapaciteter gennem personaleudveksling mellem myndigheder og peerevalueringer. De eksisterende grupper, navnlig samarbejdsgruppen, der samler nationale cybersikkerhedsmyndigheder og netværket af enheder, der håndterer computersikkerhedshændelser (CSIRT'er), vil bidrage til at fremme samarbejdet på både strategisk og teknisk plan.
NIS2-direktivet er tæt forbundet med to andre initiativer, nemlig direktivet om kritiske enheders modstandsdygtighed (CER) og forordningen om digital operationel modstandsdygtighed i den finansielle sektor (retsakten om digital operationel modstandsdygtighed, DORA).
Anvendelsesområdet for NIS 2 og direktivet om kritiske enheders modstandsdygtighed (CER-direktivet) er i vid udstrækning blevet tilpasset for at sikre, at kritiske enheders fysiske modstandsdygtighed og cyberrobusthed håndteres på en omfattende måde. Enheder, der er identificeret som kritiske enheder i henhold til CER-direktivet, vil også blive omfattet af cybersikkerhedsforpligtelserne i NIS2-direktivet. Desuden skal de nationale kompetente myndigheder i henhold til CER- og NIS2-direktiverne samarbejde og regelmæssigt udveksle relevante oplysninger såsom om risici, cybertrusler og -hændelser samt om ikkecyberrisici, trusler og hændelser. Samarbejdsgruppen under NIS2 skal mødes regelmæssigt og mindst en gang om året med gruppen for kritiske enheders modstandsdygtighed, der er nedsat i henhold til CER-direktivet.
Med hensyn til den finansielle sektor vil DORA, selv om det nye NIS-direktiv omfatter kreditinstitutter, operatører af markedspladser og centrale modparter, finde anvendelse på disse enheder for så vidt angår cybersikkerhedsrisikostyring og rapporteringsforpligtelser. Samtidig er det vigtigt at opretholde et stærkt forhold til udveksling af oplysninger mellem den finansielle sektor og de andre sektorer, der er omfattet af NIS 2. Med henblik herpå vil de europæiske tilsynsmyndigheder (ESA'er) for den finansielle sektor og de nationale kompetente myndigheder i den finansielle sektor under DORA kunne deltage i drøftelserne i NIS-samarbejdsgruppen. Desuden vil DORA's kompetente myndigheder kunne rådføre sig med og udveksle relevante oplysninger med det centrale kontaktpunkt (SPOC) og CSIRT'er, der er oprettet i henhold til NIS2. De kompetente myndigheder, SPOC'erne eller de CSIRT'er, der er etableret i henhold til NIS2, vil også modtage oplysninger om større IKT-relaterede hændelser fra de kompetente myndigheder under DORA. Desuden bør medlemsstaterne fortsat medtage den finansielle sektor i deres cybersikkerhedsstrategier, og nationale CSIRT'er kan dække den finansielle sektor i deres aktiviteter.
Medlemsstaterne skal gennemføre direktivet senest den 17. oktober 2024 (21 måneder efter NIS2)'s ikrafttræden. Kommissionen skal derefter regelmæssigt gennemgå, hvordan direktivet fungerer, og aflægge rapport herom for første gang senest den 17. oktober 2027 til Parlamentet og Rådet.