NIS2-direktivet erstatter NUS, da Rådet søger at forbedre modstandsdygtigheden og indsatskapaciteten over for hændelser i EU.
Rådet for Den Europæiske Union (EU) har vedtaget et nyt direktiv om cybersikkerhed, der har til formål at forbedre modstandsdygtigheden og indsatskapaciteten over for hændelser i hele EU, og som erstatter NIS, det nuværende direktiv om sikkerheden i net- og informationssystemer.
Det nye direktiv, NIS2, vil fastlægge udgangspunktet for risikostyringsforanstaltninger og rapporteringsforpligtelser for cybersikkerhed på tværs af sektorer og har til formål at harmonisere cybersikkerhedskrav og gennemførelse af foranstaltninger i forskellige medlemsstater.
NIS2 styrker EU’s samarbejde om håndtering af hændelser
“NIS2 vil fastsætte udgangspunktet for cybersikkerhedsrisikostyringsforanstaltninger og rapporteringsforpligtelser på tværs af alle sektorer, der er omfattet af direktivet, såsom energi, transport, sundhed og digital infrastruktur,” lød det i en pressemeddelelse fra EU-Rådet .
Det reviderede direktiv har til formål at harmonisere cybersikkerhedskrav og -foranstaltninger på tværs af medlemsstaterne ved at fastsætte minimumsregler for en lovgivningsmæssig ramme og fastlægge mekanismer for effektivt samarbejde mellem relevante myndigheder. “Den opdaterer listen over sektorer og aktiviteter, der er underlagt cybersikkerhedsforpligtelser, og indeholder bestemmelser om retsmidler og sanktioner for at sikre håndhævelse,” fortsatte udgivelsen og henviste også til oprettelsen af European Cyber Crises Liaison Organization Network (EU-CyCLONe) for at støtte den koordinerede styring af store cybersikkerhedshændelser og kriser.
NIS2 indfører regler for ID-regulerede enheder
NIS2 indfører en ny “størrelsesloftsregel” til identifikation af regulerede enheder, hvilket betyder, at alle mellemstore og store enheder, der opererer inden for de sektorer eller leverer tjenester, der er omfattet af direktivet, vil falde ind under dets anvendelsesområde, fastslog Rådet. “Teksten indeholder yderligere bestemmelser for at sikre proportionalitet, et højere niveau af risikostyring og klare kritikalitetskriterier, der gør det muligt for de nationale myndigheder at fastlægge yderligere omfattede enheder.”
Teksten præciserer også, at direktivet ikke finder anvendelse på enheder, der udfører aktiviteter på områder som forsvar eller national sikkerhed, offentlig sikkerhed og retshåndhævelse. “Retsvæsen, parlamenter og centralbanker er også udelukket fra anvendelsesområdet.”
NIS2 strømliner rapporteringsforpligtelserne
Desuden er det nye direktiv blevet tilpasset sektorspecifik lovgivning, navnlig retsakten om digital operationel modstandsdygtighed (DORA) for den finansielle sektor (DORA) og Center for European Reform (CER) om kritiske enheders modstandsdygtighed, for at skabe juridisk klarhed og sikre sammenhæng mellem NIS2 og disse retsakter, sagde Rådet. “En frivillig peerlæringsmekanisme vil øge den gensidige tillid og lære af god praksis og erfaringer i Unionen og derved bidrage til at opnå et højt fælles cybersikkerhedsniveau.”
Den nye lovgivning vil også strømline indberetningsforpligtelserne for at undgå at forårsage overrapportering og skabe en uforholdsmæssig stor byrde for de omfattede enheder.
NIS2 vil blive offentliggjort i Den Europæiske Unions Tidende i de kommende dage og træder i kraft den 20. dag efter denne offentliggørelse.
Kilde: CSO
Foto: Shutterstock