De danske NIS2- og CER-love træder i kraft 1. januar 2025

Det fremgår af et svar til Folketingets Forsvarsudvalg den 18. marts 2024. Der bliver således tale om en forsinkelse på knap 2½ måned i forhold til direktivernes implementeringsfrist den 18. oktober 2024

I svaret oplyses desuden, at:

• Forsvarsministeriet forventer at sende udkast til lovforslagene i offentlig høring "i løbet af foråret 2024".
• Forsvarsministeriet forventer at fremsætte lovforslagene for Folketinget "i åbningsugen i oktober 2024". 
• Forsvarsministeriet forventer at lovene træder i kraft i dansk ret den 1. januar 2025.
• Lovforslagene lægger op til en minimumsimplementering af NIS2 og CER, der er tæt på deres ordlyd.

Vores bemærkninger til svaret

Svaret angår de to hovedlove for implementering af NIS2- og CER-direktiverne, der forberedes og fremsættes af Forsvarsministeriet. De to hovedlove vil dække følgende sektorer:

• NIS2-hovedloven: Transport, Sundhed, Drikkevand, Spildevand, Affald, Digital Infrastruktur, IKT-service management (B2B), Digitale serviceudbydere, Post/pakke, Kemiske produkter, Fødevarer, Fremstil-ling/Produktion, Rummet og (dele af) Offentlig administration. Læs mere om NIS2-direktivet i vores artikel her. 
• CER-hovedloven: Transport, Sundhed, Drikkevand, Spildevand, Fødevarer, Rummet (og dele af den of-fentlige forvaltning). Læs mere om CER-direktivet i vores artikel her.

Svaret berører ikke implementeringen af NIS2 for energi-, finans- og telesektorerne. For de sektorer vil implementeringen af NIS2-direktivet ske gennem anden særlovgivning (med højere krav). Det fremgår ikke af Forsvarsministeriets svar, hvornår lovforslagene for energi- og telesektorerne sendes i høring. Men det kan meget vel tænkes, at det sker parallelt med NIS2-hovedlovene. Lovforslaget, der skal implementere NIS2 i de finansielle sektorer (i praksis for det, der i dag er fælles datacentraler), blev tidligere sendt i høring i december 2023. 

Svaret bekræfter ikke, hvornår de sektorvise bekendtgørelser sendes i høring. Det fremgår af svaret, at virksomheder og myndigheder "allerede fra den offentlige høring i foråret [vil] få et overblik over de krav, der forventeligt vil træde i kraft ved årsskiftet". I lyset af, at der lægges op til en minimumsimplementering, er det reelle bil-lede nærmere, at virksomhederne allerede kender de overordnede – og bredt formulerede – krav i direktiverne. I praksis er det de mere eller mindre konkrete krav i de respektive sektorbekendtgørelser, der bliver relevante. 

Sektorbekendtgørelserne træder (også) træder i kraft 1. januar 2025. Det er her meddelt, at Center for Cybersikkerhed (CFCS), under Forsvarsministeriet, i praksis koordinerer arbejdet med udarbejdelse af sektorbe-kendtgørelserne, og at disse træder i kraft samtidig med hovedlovene, dvs. den 1. januar 2025. CFCS udarbejder et udkast til en modelbekendtgørelse, der skal forhandles med de ansvarlige sektormyndigheder, inden bekendtgørelserne udstedes. Bekendtgørelser skal – modsat love – ikke behandles eller godkendes i Folketinget, men sendes sædvanligvis i høring, inden de udstedes. Det er derfor en god ide at holde øje med eventuelle hø-ringsudkast indenfor ens sektor. 

Det er langt fra sikkert, at sektorbekendtgørelserne giver svar på alle spørgsmål. Og der er massere, virksomheder kan forberede, mens vi venter på detailkravene. Sektorbekendtgørelserne vil givet konkretisere NIS2-kravene til et vist niveau med variation på tværs af sektorerne. Det er dog langt fra sikkert, at bekendtgørel-serne detaljeret angiver præcist med hvad, hvor meget og hvordan, den enkelte virksomhed skal efterleve og implementere kravene. Det skyldes bl.a., at kravene er risikobaserede, og at det derfor først og fremmest er op til den enkelte virksomheds risikoprofil og -tolerance at beslutte, præcist hvad man kan og vil gøre. Og uanset regulering så forudsætter implementering af kravene et grundlæggende forberedelsesarbejde, som man ikke bør vente med.