iStock photo Getty images Plus
Reglerne vil sikre et sikrere og stærkere Europa ved at udvide de sektorer og typer af enheder, der falder ind under dets anvendelsesområde, betydeligt og ved at skærpe sikkerhedskravene til virksomheder.
De seneste trusler har øget behovet for hurtigt og i fællesskab at styrke EU's cybersikkerhed for at beskytte borgere og virksomheder. Det er også afgørende, at kritiske sektorer og infrastrukturer forbliver sikre og modstandsdygtige. Ved at tackle disse udfordringer erstatter NIS 2-direktivet reglerne om sikkerheden i net- og informationssystemer (NIS-direktivet), som var den første EU-dækkende lovgivning om cybersikkerhed, der banede vejen for en mere innovativ lovgivningsmæssig tilgang til cybersikkerhed i mange medlemsstater.
Sikring af yderligere vigtige sektorer
Øget sammenkobling og digitalisering af visse sektorer fører til flere cybertrusler. Sikring af, at flere sektorer og enheder skal træffe foranstaltninger til styring af cybersikkerhedsrisici, vil øge cybersikkerhedsniveauet i Europa. NIS 2-direktivet omfatter nu yderligere sektorer, der er kritiske for økonomien og samfundet, herunder udbydere af offentlige elektroniske kommunikationsnet og -tjenester, datacentertjenester, spildevands- og affaldshåndtering, fremstilling af kritiske produkter, post- og kurertjenester og offentlige forvaltningsenheder. Reglerne dækker også sundhedssektoren mere bredt, f.eks. ved at medtage forskning i og udvikling af lægemidler eller fremstilling af farmaceutiske produkter. Medlemsstaterne vil have en vis skønsmargen, når de udpeger mindre enheder med en høj sikkerhedsprofil, der bør være omfattet af direktivets anvendelsesområde.
Forbedrede sikkerhedskrav til virksomheder
NIS 2-direktivet styrker også de krav til cybersikkerhedsrisikostyring, som virksomhederne er forpligtet til at overholde. Ligesom i henhold til NIS-direktivet skal virksomhederne træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre cybersikkerhedsrisici, forebygge og minimere virkningen af potentielle hændelser. Dette krav bliver langt mere konkret under NIS 2 med en liste over målrettede foranstaltninger, herunder bl.a. håndtering af hændelser og krisestyring, håndtering og offentliggørelse af sårbarheder, politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici eller cybersikkerhedshygiejne og -uddannelse.
For at bidrage til at øge informationsudvekslingen og samarbejdet om cyberkrisestyring på både nationalt plan og EU-plan strømliner direktivet forpligtelserne til indberetning af hændelser med mere præcise bestemmelser om rapportering, indhold og tidsplan. Desuden er der strengere tilsynsforanstaltninger for de nationale myndigheder samt strengere håndhævelseskrav sammen med listen over administrative sanktioner, herunder bøder for overtrædelse af forpligtelserne til styring af cybersikkerhedsrisici og rapportering.
Næste trin
Medlemsstaterne har 21 måneder til at gennemføre NIS 2-direktivet i national ret. I denne periode vedtager og offentliggør medlemsstaterne de foranstaltninger, der er nødvendige for at efterkomme dette direktiv.
I december 2022 vedtog Rådet en henstilling om en koordineret tilgang på EU-plan for at styrke kritisk infrastrukturs modstandsdygtighed, hvor medlemsstaterne opfordres til at fremskynde det forberedende arbejde med henblik på gennemførelse og anvendelse af NIS 2 og direktivet om kritiske enheders modstandsdygtighed (CER).
Tvistens baggrund
Cybersikkerhed er en prioritet for Kommissionen og en hjørnesten i det digitale og forbundne Europa.
Den første EU-dækkende lov om cybersikkerhed, NIS-direktivet, trådte i kraft i 2016 og bidrog til at opnå et højt fælles sikkerhedsniveau for net- og informationssystemer i hele EU. NIS-direktivet omfattede flere sektorer, herunder energi, transport, bankvæsen og finans, sundhed, drikkevandsforsyning og -distribution samt digital infrastruktur. Det omfattede også udbydere af digitale tjenester, navnlig udbydere af cloudtjenester, onlinemarkedspladser og onlinesøgemaskiner.
Som led i sin centrale politiske målsætning om at gøre "Europa klar til den digitale tidsalder " foreslog Kommissionen i december 2020 en revision af NIS-direktivet. EU's forordning om cybersikkerhed trådte i kraft i 2019 og har udstyret Europa med en ramme for cybersikkerhedscertificering af produkter, tjenester og processer. Den har også har styrket mandatet for EU's Agentur for Cybersikkerhed (ENISA). I september 2022 vedtog Kommissionen forslaget til retsakt om cyberrobusthed, som fastsætter cybersikkerhedskrav for produkter med et digitalt element, der omfatter både hardware og software.