NIS2 – de 5 centrale krav

NIS2, net- og informationssystem sikkerhedsdirektiv

NIS2 er del af EU’s digitale strategi, og direktivet sigter på at opnå et højt fælles cybersikkerhedsniveau i hele EU med henblik for at forbedre hele det indre markeds funktion. Direktiver udmøntes med national lov – i Danmark pr. 1.7 2025.

Artiklen introducerer centrale krav + links til relevant materiale.

Den generelle NIS2-lov er udstedt af Ministeriet for Samfundssikkerhed og Beredskab. Regler for finansiel sektor ses i DORA forordningen. Danmark har tillige udstedt NIS2-love for energi- og telesektor. Disse sektorer beskrives ikke her. Links ses nederst.

Fem centrale krav

👉 1. Organisationen skal som hovedregel selv vurdere, i hvilken udstrækning organisationen omfattes af NIS2. Organisationen omfattes på enhedsniveau (juridisk enhed, CVR). Store organisationer/koncerner kan falde under for alle eller specifikke juridiske enheder i Danmark eller andre EU-lande. Desuden kan en organisation falde under for forskellige sektorer.

Organisationen må i Danmark udover NIS2-loven orientere sig i eventuelle sektorspecifikke bekendtgørelser.

Falder organisationen under NIS2 i et andet EU-land, er det værd at nævne, at NIS2 er et mindstedirektiv, hvorfor andre lande kan have strengere krav. Der gælder særlige regler for såkaldte digitale enheder, der kun vil være omfattet af regler i èt EU-land efter hovedforretningssted. Desuden skal virksomheden registrere sig i relevante EU-lande, i Danmark senest 1.10 2025. Find mere info om registrering på virk.dk.

Styrelsen for Samfundssikkerhed, SAMSIK, har udgivet fire sektortværgående vejledninger og en til kommuner. I vejledningen Anvendelsesområdet findes spørgetræ og kriteriebeskrivelse til at understøtte identifikation af, om man falder under.

Den juridiske enhed vil være væsentlig eller vigtig. Men det er kun i udstrækningen af tilsyn, håndhævelsesforanstaltninger og sanktioner, at det konkret spiller en rolle.

👉 2. Et meget centralt krav i NIS2 er, at ledelsesorganet nu pr. lov har ansvar at godkende foranstaltninger til styring af cybersikkerhedsrisici samt føre tilsyn med gennemførslen. Derfor skal ledelsesorganet identificeres. Det giver sig selv i den lille organisation, men i den store organisation kan det være en kompleks opgave at identificere ledelsesorganet for hver specifik juridisk enhed, der måske ikke har en direktion eller bestyrelse. Vejledningen Ledelsens Rolle og opgaver giver detaljer, herunder om tilsynspligt, kompetencekrav, delegering og sanktioner/ledelsens personlige ansvar.

👉 3. NIS2’s overblik over minimumsforanstaltninger ses i direktivets artikel 21/§ 6 i NIS2-loven. I Danmark bliver alle den juridiske enheds net- og informationssystemer omfattet, og ikke kun dem, der understøtter de ydelser der gør, at enheden bliver omfattet. Med den risikobaserede tilgang, kan behov for sikkerhedsforanstaltninger variere.

Vejledning om implementering af cybersikkerhedsforanstaltninger tilbyder definitioner, formålsbeskrivelse, dokumentation samt forslag til foranstaltninger (ofte benævnt kontroller) efter standarder og rammeværk som bl.a. ISO27001, NIST CSF 2.0, og IEC62443 for de organisationer, der ikke kun har IT men også Operational Technologies, OT.

For visse digitale sektorer har EU Kommissionen jf. direktivets artikel 21.5 udarbejdet separat implementeringsregulering (ANNEX dokumentet når man følger link) for artikel 21/ §6, på baggrund af hvilken, at ENISA* har udgivet Technical Implementation Guidance. Den danske vejledning om foranstaltninger følger til dels samme systematik, men ENISA er på visse områder mere specifik og til god inspiration for alle sektorer.

Risikostyringen skal være risikobaseret og tage udgangspunkt i alle farer (all-hazards approach). En nærmere anvisning af metodik er ikke inkluderet i vejledningerne, men præamplerne herunder (28) i implementeringsreguleringen (dokumentet, der ikke er ANNEX, når man følger link) for visse digitale sektorer oplister, hvad det kunne være.

Et krav uden stor bevågenhed, er risikovurderingens fokus på samfundsmæssig og økonomisk indvirkning. Dvs. fokus på, hvordan væsentlige hændelser i kritisk infrastruktur vil påvirke samfund og økonomi. Hvad samfundsrisici kan være, har svenske MSB, Myndigheten för samhällsskyd och beredskap elaboreret over i deres publikation Impact of IT incidents. Publikationen tager udgangspunkt i svenske hændelser og er god læsning.

En anden ENISA publikation, Cybersecurity roles and skills for NIS2 essential and important entities tilbyder guidance til at operationalisere krav og kompetencer.

    3.1 Et nyt og centralt krav er at sikre den juridiske enheds forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter, så organisationen ikke påvirkes negativt herfra.

Omfanget og type af relevante direkte leverandører og tjenesteudbydere, herefter leverandører, i scope er der mange meninger om. Vejledningen om implementering af foranstaltninger peger på leverandører i scope på denne måde: ”i det omfang deres ydelser kan påvirke sikkerheden i forhold til den eller de ydelser, som gør, at enheden er omfattet af NIS2” – så altså ikke alle leverandører, og peger på ”levering af it-produkter og tjenester samt andre kritiske leverancer som strøm, teknisk bistand med mere” og senere, ”cloud”.

For leverandører i scope skal organisationen lave risikovurdering af leverandørens cybersikkerhedsmodenhed, risikovurdering af produkt eller service, sikre en skriftlig aftale, der afspejler risikovurdering samt sikre regelmæssig opfølgning. Organisationen kan anvende en risikobaseret tilgang, hvor kravene til den enkelte leverandør er proportionale med den specifikke leverances betydning for organisationens forsynings- og cybersikkerhed.

En udbredt misforståelse er, at leverandører til NIS2-omfattende organisationer så selv bliver omfattet af NIS2, hvilket er forkert.

Organisationen kan også overveje, om de bliver leverandør til eksterne organisationer, der falder under NIS2, og som vil risikovurdere og stille krav.

👉 4. Krav om obligatorisk underretning til myndigheder gælder væsentlige hændelser, der ud fra en indledende vurdering har påvirket eller er i stand til at påvirke enhedens levering af ydelser. Her er reglen, at underretningspligtige hændelser skal påvirke de konkrete net- og informationssystemer for de ydelser, som gør, at enheden er omfattet af NIS2. I vejledningen Hændelsesunderretning findes spørgetræ samt konkret info om, hvor der skal indberettes (virk.dk), hvad samt fristerne på 24 timer for tidligt varsel, 72 timer og en måned. For visse digitale sektorer har EU Kommissionen jf. artikel 23.11 udarbejdet separat gennemførselsforordning (dokumentet, der ikke er ANNEX, når man følger link) for artikel 23/ §§ 12-14 i NIS2-loven med god guidance i dokumentets præampler også for andre sektorer.

👉 5. Tilsyn og håndhævelse varetages i Danmark af de sektoransvarlige myndigheder, hvilket også detaljeret fremgår af denne bekendtgørelse. Regler for tilsyn findes i art. 32 for+33/kap 6 i NIS2-loven. For væsentlige juridiske enheder føres løbende tilsyn, mens vigtige juridiske enheder er genstand for reaktivt tilsyn. For begge typer gælder dog, at tilsyns- og kontrolforanstaltninger samt håndhævelsesforanstaltninger er vidtgående.

* ENISA, EU’s cybersikkerhedsagentur. En senere artikel vil gå i detaljer med ENISA publikationer.

Relevante links

1. 2022/2555 EU NIS2 direktiv
2. Lov om foranstaltninger til sikring af en højt cybersikkerhedsniveau (NIS2-loven)
3. Lov om sikkerhed og beredskab i telesektoren
4. Lov om styrket beredskab i energisektoren
5. SAMSIK vejledninger
6. ENISA, Technical implementation guidance
7. ENISA, Cybersecurity roles and skills for NIS2 essential and important entities
8. Lov om kritiske enheders modstandsdygtighed (CER-loven)
9. NIS2 Directive – Commission implementing Regulation C(2024) for art. 21 (ANNEX) og art. 23 for visse digitale sektorer
10. Information om DORA, forordning om digital operationel modstandsdygtighed