NIS 2-direktivet: nye regler om cybersikkerhed i net- og informationssystemer

Cybersikkerhed indebærer beskyttelse af net- og informationssystemer (NIS), deres brugere og andre berørte personer mod cyberhændelser og -trusler. For at reagere på Europas øgede eksponering for cybertrusler erstattede ⁇ direktiv 2022/2555, også kendt som NIS2 ⁇ , sin forgænger, direktiv 2016/1148 eller NIS1. NIS2 hæver EU's fælles ambitionsniveau for cybersikkerhed gennem et bredere anvendelsesområde, klarere regler og stærkere tilsynsværktøjer. Det kræver, at medlemsstaterne ⁇ forbedrer deres cybersikkerhedskapacitet ⁇ , samtidig med at de indfører risikostyringsforanstaltninger og rapporteringskrav til enheder fra flere sektorer og fastsætter regler for samarbejde, informationsudveksling, tilsyn og håndhævelse af cybersikkerhedsforanstaltninger.

Direktivet giver hver medlemsstat mandat til at vedtage en national cybersikkerhedsstrategi, som omfatter politikker for forsyningskædesikkerhed, sårbarhedsstyring og uddannelse i og bevidsthed om cybersikkerhed. Medlemsstaterne skal også udarbejde og regelmæssigt ajourføre en liste over operatører af væsentlige tjenester for at sikre, at disse enheder opfylder direktivets krav. 

Ud over de sektorer, der allerede er omfattet af NIS 1, såsom energi, transport, sundhedspleje, finans, vandforvaltning og digital infrastruktur, finder disse regler anvendelse på udbydere af offentlige elektroniske kommunikationstjenester, flere digitale tjenester såsom sociale platforme, spildevands- og affaldshåndtering, fremstilling af kritiske produkter, post- og kurertjenester, offentlig forvaltning, både på centralt og regionalt plan eller i rummet. Som hovedregel vil mellemstore og store enheder i disse kritiske sektorer skulle træffe passende foranstaltninger til styring af cybersikkerhedsrisici og underrette de relevante nationale myndigheder om væsentlige hændelser. Der er tale om hændelser, der kan forårsage betydelige forstyrrelser eller skader. 

Direktivet indeholder også bestemmelser om tilsyn, håndhævelse og frivillige peerevalueringer for at øge den gensidige tillid og cybersikkerhedskapaciteten i hele EU. Den indfører også den øverste ledelses ansvarlighed for manglende overholdelse af foranstaltninger til styring af cybersikkerhedsrisici og gør dermed bestyrelseslokalet opmærksom på cybersikkerhed.

Direktivet opretter et netværk af enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), for at udveksle oplysninger om cybertrusler og reagere på hændelser. Disse hold er afgørende for at opretholde situationsbevidsthed og tilbyde hjælp. For at håndtere omfattende cybersikkerhedshændelser eller -kriser opretter direktivet det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe) ⁇ . Dette netværk støtter koordineret forvaltning og sikrer regelmæssig udveksling af oplysninger mellem medlemsstaterne og EU-institutionerne i tilfælde af omfattende hændelser og kriser. 

Sideløbende hermed er ⁇ NIS-samarbejdsgruppen ⁇ en platform, der er oprettet ved NIS-direktivet for at lette strategisk samarbejde og informationsudveksling mellem EU's medlemsstater, Europa-Kommissionen og EU's Agentur for Cybersikkerhed (ENISA). Gruppen offentliggør ikkebindende retningslinjer og henstillinger til støtte for gennemførelsen af NIS-direktivet.

Baggrund

⁇ NIS 1 (direktiv 2016/1148) ⁇ var den første omfattende EU-lovgivning, der havde til formål at øge cybersikkerheden i net- og informationssystemer for at sikre vitale tjenester for EU's økonomi og samfund. I december 2020 foreslog Kommissionen at revidere NIS 1, hvilket førte til vedtagelsen af NIS 2, som trådte i kraft i januar 2023. Medlemsstaterne havde indtil den 17. oktober 2024 til at gennemføre NIS 2-direktivet i national ret. NIS 2 ophævede NIS 1 fra den 18. oktober 2024.