Forekomsten af cyberkriminalitet er stigende, og med den fremskredne teknologiske udvikling, er frygten for, at hackere rammer virksomheders operative teknologi, steget betragteligt. Center for Cybersikkerhed har for nyligt meldt ud, at cybertruslen i Danmark anno 2023 kategoriseres som værende meget høj.
Cybersikkerheden har længe været på agendaen i EU, hvilket afstedkom det oprindelige NIS-direktiv, hvis formål er at regulere myndighedernes og virksomhedernes cyber- og informationssikkerhed. Nu skærpes kravene yderligere med det udvidede NIS2-direktiv, hvis formål er at sikre en langt mere stringent tilgang og håndtering af cybersikkerheden blandt EU’s medlemslande.
Følgende virksomheder omfattes af det nye NIS2-direktiv
Flere organisationer og virksomheder bliver fremadrettet omfattet af de nye regler, eftersom direktivet indeholder en væsentlig udvidelse i forhold til det tidligere direktiv.
Omfattet af reglerne er organisationer og virksomheder, der arbejder indenfor bestemte sektorer, der betragtes som værende sårbare overfor cybertrusler.
Disse sektorer er i direktivet angivet som værende:
- Energi
- Transport
- Bankvirksomhed
- Finansielle markedsinfrastrukturer
- Sundhed
- Drikkevand
- Spildevand
- Digital infrastruktur
- Offentlig forvaltning
- Forvaltning af ikt-tjenester
- Rummet
- Post
- Affaldshåndtering
- Kemikalier
- Fødevarer
- Digitale udbydere
- Fremstilling af medicinsk udstyr
- Elektroniske produkter
- Maskiner og køretøjer
- Forskning
Som det fremgår, er mange virksomheder og organisationer omfattet af de nye regler, og derfor bør alle virksomheder og organisationer gøre sig klart, om de er omfattede af reglerne, og hvilken betydning det får for dem.
Hvilke krav stiller det nye direktiv?
Udover et udvidet anvendelsesområde, er kravene til IT-sikkerheden i de omfattede virksomheder blevet skærpet væsentligt med det nye direktiv. Der stilles større krav til virksomheders ledelse, herunder især i forhold til risikostyring, dokumentation og rapportering. Kravene afhænger bl.a. af om din virksomhed er omfattet af kategorien ”væsentlige enheder” eller ”vigtige enheder”.
Af centrale krav, som virksomheder skal efterleve, er bl.a.:
- Øgede krav til risikostyring og sikkerhedsforanstaltninger,
- Underretningspligt til myndigheder i tilfælde af nedbrud e.l., samt
- Udarbejdelse af nødprocedurer, plan for genopretning af systemer m.v.
Virksomhedens ledelse har det overordnede ansvar for, at virksomheden overholder de skærpede krav efter de nye regler.
Sanktioner følger, hvis reglerne ikke overholdes
Som noget nyt stiller NIS2-direktivet strenge krav til ledelsen i de omfattede virksomheder, herunder betydelige sanktioner i tilfælde af manglende efterlevelse af de strenge krav til cybersikkerhed. Det er bl.a. blevet fastlagt, at ledelsesmedlemmer på direktionsniveau kan blive frataget deres ledelsesmæssige beføjelser. Tilsvarende kan der blive tale om suspendering af certificeringer eller godkendelser vedrørende virksomhedens tjenester og aktiviteter.
Direktivet giver desuden, ud over de nævnte sanktioner, medlemsstaterne mulighed for store bøder på op til 10 mio. euro eller op til 2% af virksomhedens samlede globale årsomsætning.
Direktivet blev endeligt vedtaget den 27. december 2022. Medlemslandene har herefter 21 måneder til at implementere det i national ret. Det forventes således at blive implementeret I Danmark senest i efteråret 2024.
Hvad bør virksomheder gøre?
Det er vores klare anbefaling, at virksomheder og andre organisationer gør sig bekendt med de nye regler, og allerede nu starter processen med at blive klar til implementeringen af de nye regler.
Hos Haugaard|Braad Advokatfirma står vi naturligvis til rådighed, hvis du har spørgsmål til NIS2-direktivet.
Deltag også i vores gratis seminar om NIS2-direktivet, hvor du bl.a. kan høre partner Nikolaj Jalili-Trudslev fortælle om de nye regler med fokus på risikohåndteringsforanstaltninger.