NIS2-direktivet: nye regler om cybersikkerhed i net- og informationssystemer

Cybersikkerhed omfatter beskyttelse af net- og informationssystemer (NIS), deres brugere og andre berørte personer mod cyberhændelser og -trusler. Som reaktion på Europas øgede eksponering for cybertrusler erstattede direktiv 2022/2555, også kendt som NIS2, sin forgænger, direktiv 2016/1148 eller NIS1. NIS2 hæver EU's fælles ambitionsniveau for cybersikkerhed gennem et bredere anvendelsesområde, klarere regler og stærkere tilsynsværktøjer. Det kræver, at medlemsstaterne forbedrer deres cybersikkerhedskapacitet, samtidig med at der indføres risikostyringsforanstaltninger og rapporteringskrav til enheder fra flere sektorer, og der fastsættes regler for samarbejde, informationsudveksling, tilsyn og håndhævelse af cybersikkerhedsforanstaltninger.

I henhold til direktivet skal hver medlemsstat vedtage en national cybersikkerhedsstrategi, som omfatter politikker for forsyningskædesikkerhed, sårbarhedsstyring og uddannelse i og bevidsthed om cybersikkerhed. Medlemsstaterne skal også udarbejde og regelmæssigt ajourføre en liste over operatører af væsentlige tjenester og sikre, at disse enheder overholder direktivets krav. 

Ud over de sektorer, der allerede er omfattet af NIS 1, såsom energi, transport, sundhedspleje, finans, vandforvaltning og digital infrastruktur, finder disse regler anvendelse på udbydere af offentlige elektroniske kommunikationstjenester, flere digitale tjenester såsom sociale platforme, spildevands- og affaldshåndtering, fremstilling af kritiske produkter, post- og kurertjenester, offentlig forvaltning, både på centralt og regionalt plan eller i rummet. Som hovedregel vil mellemstore og store enheder i disse kritiske sektorer skulle træffe passende foranstaltninger til styring af cybersikkerhedsrisici og underrette de relevante nationale myndigheder om væsentlige hændelser. Der er tale om hændelser, der kan forårsage betydelige forstyrrelser eller skader. 

Direktivet indeholder også bestemmelser om tilsyn, håndhævelse og frivillige peerevalueringer for at øge den gensidige tillid og cybersikkerhedskapaciteten i hele EU. Det indfører også ansvarlighed hos den øverste ledelse for manglende overholdelse af foranstaltninger til styring af cybersikkerhedsrisici og gør dermed bestyrelseslokalet opmærksom på cybersikkerhed.

Direktivet opretter et netværk af enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), til at udveksle oplysninger om cybertrusler og reagere på hændelser. Disse hold er afgørende for at opretholde situationsbevidsthed og tilbyde hjælp. For at håndtere væsentlige cybersikkerhedshændelser eller -kriser opretter direktivet det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe). Dette netværk støtter koordineret forvaltning og sikrer regelmæssig informationsudveksling mellem medlemsstaterne og EU-institutionerne i tilfælde af omfattende hændelser og kriser. 

Sideløbende hermed er NIS-samarbejdsgruppen en platform, der er oprettet ved NIS-direktivet for at lette det strategiske samarbejde og informationsudvekslingen mellem EU's medlemsstater, Europa-Kommissionen og EU's Agentur for Cybersikkerhed (ENISA). Gruppen offentliggør ikke-bindende retningslinjer og anbefalinger til støtte for gennemførelsen af NIS-direktivet.

Baggrund

NIS 1 (direktiv 2016/1148) var den første omfattende EU-lovgivning, der havde til formål at fremme cybersikkerheden i net- og informationssystemer for at beskytte vitale tjenester for EU's økonomi og samfund. I december 2020 foreslog Kommissionen at revidere NIS 1, hvilket resulterede i vedtagelsen af NIS 2, som trådte i kraft i januar 2023. Medlemsstaterne havde indtil den 17. oktober 2024 til at gennemføre NIS 2-direktivet i national ret. NIS 2 ophævede NIS1 fra den 18. oktober 2024.

Kommissionen har indledt traktatbrudsprocedurer ved at sende åbningsskrivelser til 23 medlemsstater for ikke fuldt ud at have gennemført NIS2-direktivet i national ret inden fristen den 17. oktober 2024. Medlemsstaterne skal reagere og afslutte deres gennemførelse af direktivet. Hvis de ikke gør det, kan Kommissionen afgive en begrundet udtalelse, som er en formel anmodning om at overholde EU-retten. Fortsat manglende overholdelse kan i sidste ende føre til, at sagen indbringes for Den Europæiske Unions Domstol, som kan pålægge økonomiske sanktioner.