NIS2 EU direktivet om bl.a. Cybersikkerhed som vi alle skal opfylde er vedtaget

Så skal vi til det igen. Efter Schrems debatter og en stærk stigning i angreb på danske og EU virksomheder blev det Fredag den 13 besluttet, at NIS2 er til implementering i de enkelte lande. Først kom NIS og NIS2 omfatter langt flere virksomheder. NIS2 stiller helt konkret krav til virksomheders it-sikkerhed, sikkerheden omkring forsyningskæder og leverandørforhold, og så kan den øverste ledelse holdes til ansvar, hvis reglerne ikke bliver overholdt.

Dermed er vejen banet for krav om større it-sikkerhedskrav hos rigtig mange af store og mellemstore danske virksomheder. NIS2 Loven er vedtaget i EU og bliver herefter implementeret i Danmark.

Loven kommer til at få betydning for en lang række af sektorer, som ikke blev dækket af NIS loven. Det er også større krav til f.eks. spildevandssektoren, affaldssektoren og fødevaresektoren. Overholder man ikke kravene er der lagt op til store bøder og konsekvenser.

NIS2 Loven kræver også, at anmeldelser for brud på sikkerheden bliver mere strømlinet. Der er større krav til tilsynsfunktioner, der skal være mere strikse i at håndhæve reglerne, ifølge pressemeddelelsen hvor vor egen Magrethe Vestager er en af arkitekterne bag “Europa klar til den digitale tidsalder” Måske lidt sent med lovgivning, men heldigvis er de fleste godt oprustet. Rundt om i medierne er der meget kritik og der skal nok komme en fin debat her de næste måneder.

Som vi læser det mangler der konkret rådgivning til hvad man gør hvis man kommer ud for DDOS, Ransomware og skal bruge Gidselforhandlere. Man kunne også efterlyse at man gør brug af Penetrationstests, fordi det er jo dem der finder hullerne før de kriminelle hackerbander gør det. Et andet krav kunne jo være at alle disksystemer skal være krypteret. Eller hvordan skal mande ud af om man bliver overvåget af overvågningssoftware.

Bøderne er også besluttet nu, hvis man ikke har den korrekte sikkerhed installeret

Parlamentet og Rådet er nemlig blevet enige om det maksimale bødeniveau, der kan pålægges i henhold til NIS2. Det minder er i lighed med GDPR bøderne tidligere. Den maksimale bøde på 2 % af den årlige omsætning eller 10 mio. EUR for “væsentlige” enheder (f.eks. enheder, der opererer inden for cloud computing-, energi-, sundheds- eller banksektoren) er blevet bibeholdt. Den aftalte maksimumsbøde for “vigtige” enheder (digitale udbydere såsom søgemaskiner, onlinemarkedspladser og sociale netværk og enheder, der er aktive inden for sektorer såsom produktion og distribution af kemikalier og fødevareproduktion), der misligholder deres forpligtelser, er imidlertid blevet reduceret til 1,4 % af den samlede omsætning på verdensplan i det foregående regnskabsår for den virksomhed, som enheden tilhører —  eller 7 mio. EUR, alt efter hvad der er størst. Bødeniveauet er beregnet til nogenlunde at svare til det typiske beløb, der kræves af Ransomware-angribere.

NIS2 direktivet giver nye kunder i butikken hos sikkerhedsrådgivere, pentestere og SIEM leverandører m.v.

Kommissionen glæder sig over den politiske enighed, der i dag er indgået mellem Europa-Parlamentet og EU’s medlemsstater om direktivet om foranstaltninger til et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet), som foreslået i december 2020. De eksisterende regler kaldet NIS-direktivet har været den første EU-dækkende lovgivning om cybersikkerhed og banet vejen for en betydelig ændring i tankegangen, den institutionelle og lovgivningsmæssige tilgang til cybersikkerhed i mange medlemsstater. På trods af deres bemærkelsesværdige resultater og positive indvirkning måtte de ajourføres på grund af den stigende grad af digitalisering og indbyrdes forbundethed i vores samfund og det stigende antal cyberd ondsindede aktiviteter på globalt plan.

For at imødegå denne øgede eksponering af Europa for cybertrusler omfatter NIS 2-direktivet nu mellemstore og store enheder fra flere sektorer, der er afgørende for økonomien og samfundet, herunder udbydere af offentlige elektroniske kommunikationstjenester, digitale tjenester, spildevands- og affaldshåndtering, fremstilling af kritiske produkter, post- og kurertjenester og offentlig forvaltning —  både på centralt og regionalt plan. Den dækker også sundhedssektoren mere bredt, f.eks. ved at inkludere producenter af medicinsk udstyr, i betragtning af de stigende sikkerhedstrusler, der opstod under covid-19-pandemien. Udvidelsen af det anvendelsesområde, der er omfattet af de nye regler, ved effektivt at forpligte flere enheder og sektorer til at træffe foranstaltninger til risikostyring i forbindelse med cybersikkerhed vil bidrage til at øge cybersikkerhedsniveauet i Europa på mellemlang og lang sigt.

NIS 2-direktivet styrker også de cybersikkerhedskrav, der pålægges virksomhederne, omhandler sikkerheden i forsyningskæder og leverandørrelationer og indfører ansvarlighed hos den øverste ledelse for manglende overholdelse af cybersikkerhedsforpligtelserne. Den strømliner indberetningsforpligtelserne, indfører strengere tilsynsforanstaltninger for de nationale myndigheder samt strengere håndhævelseskrav og sigter mod at harmonisere sanktionsordningerne på tværs af medlemsstaterne. Det vil bidrage til at øge informationsudvekslingen og samarbejdet om cyberkrisestyring på nationalt plan og EU-plan.

Medlemmer af kollegiet siger om bl.a. cybersikkerhed:

“Vi har arbejdet hårdt for en digital omstilling af vores samfund. I de seneste måneder har vi indført en række byggesten, f.eks. retsakten om digitale markeder og retsakten om digitale tjenester. I dag har medlemsstaterne og Europa-Parlamentet også sikret en aftale om NIS 2. Dette er endnu et vigtigt gennembrud i vores europæiske digitale strategi, denne gang for at sikre, at borgere og virksomheder beskyttes og har tillid til væsentlige tjenester.”

skriver Margrethe Vestager, og hun er Vicepræsident

Margaritis Schinas, næstformand med ansvar for fremme af vores europæiske livsstil, udtaler:

Cybersikkerhed har altid været afgørende for at beskytte vores økonomi og vores samfund mod cybertrusler; det bliver kritisk, efterhånden som vi bevæger os videre i den digitale omstilling. Den nuværende geopolitiske situation gør det endnu mere presserende for EU at sikre, at dets retlige rammer er egnede til formålet. Ved at nå til enighed om disse yderligere styrkede regler lever vi op til vores tilsagn om at forbedre vores cybersikkerhedsstandarder i EU. I dag viser EU sin klare vilje til at kæmpe for beredskab og modstandsdygtighed over for cybertrusler, som er rettet mod vores økonomier, vores demokratier og fred.

Thierry Breton, kommissær med ansvar for det indre marked, udtaler:

“Cybertruslerne er blevet dristigere og mere komplekse. Det var bydende nødvendigt at tilpasse vores sikkerhedsramme til de nye realiteter og sikre, at vores borgere og infrastrukturer beskyttes. I dagens cybersikkerhedslandskab er samarbejde og hurtig informationsudveksling af afgørende betydning. Med nis2’s aftale moderniserer vi reglerne for at sikre mere kritiske tjenester til samfundet og økonomien. Dette er derfor et stort skridt fremad. Vi vil supplere denne tilgang med den kommende cyberrobusthedslov, der vil sikre, at digitale produkter også er mere sikre, når de bruges.”

Den politiske enighed, som Europa-Parlamentet og Rådet er nået frem til, skal nu formelt godkendes af de to medlovgivere. Når direktivet er offentliggjort i Den Europæiske Unions Tidende, træder det i kraft 20 dage efter offentliggørelsen, og medlemsstaterne skal derefter gennemføre de nye elementer i direktivet i national ret. Medlemsstaterne har dog op til 21 måneder til at gennemføre direktivet i national ret.

Baggrunden for Cybersikkerhed og NIS2 lovgivning herom

Cybersikkerhed er en af Kommissionens topprioriteter og en hjørnesten i det digitale og forbundne Europa.

Den første EU-dækkende lov om cybersikkerhed, NIS-direktivet, der trådte i kraft i 2016, bidragede til at opnå et fælles højt sikkerhedsniveau for net- og informationssystemer i hele EU.

Som led i sin centrale politiske målsætning om at gøre Europa klar til den digitale tidsalder foreslog Kommissionen en revision af NIS-direktivet i december 2020.

EU’s fordning om Cybersikkerhed der har stået i kraft siden 2019, udstyrede Europa med en ramme for cybersikkerhedscertificering af produkter, tjenester og processer og styrkede mandatet for EU’s Agentur for Cybersikkerhed (ENISA).

Mangler du en NIS2 sikkerhedskonsulent, så ring gerne 31971111 og høre mere om hvordan du bliver klar.

KIlde: EU & ICARE.DK
Fotokredit: Logo fra EU Kommisionen

Scroll to Top