NIS 2 bliver om lidt til virkelighed i Danmark. Hvad skal din virksomhed være opmærksom på?
Du kan læse selve lovforslaget her. Implementeringslovens ikrafttrædelsesdato, som det fremgår i lovforslaget, er sat til den 1. marts 2025. Implementeringsfristen for NIS 2-direktivet er den 17. oktober 2024, og Danmark er derfor forsinket med implementering af NIS 2- direktivet med ca. 5 måneder.
Den danske implementering af NIS 2 sker via rammelovgivning
At NIS 2 i Danmark implementeres via rammelovgivning indebærer, at der kommer én tværsektoriel hovedlov, og at der parallelt er sektorspecifik lovgivning for hhv. tele-, energi- og finanssektoren. Under hovedloven skal der udstedes sektorspecifikke bekendtgørelser. Bekendtgørelserne kommer bl.a. til at indeholde sektorspecifikke krav til cybersikkerhedsforanstaltninger, hændelsesrapportering og tilsyn. Det lovforslag, som forsvarsministeriet har fremsat, er den tværsektorielle hovedlov.
Der er ikke på nuværende tidspunkt fremsat et sektorspecifikt lovforslag, der er møntet på telesektoren. Implementeringsloven for energisektoren er i lovforslag (og fremgår her) og er sat til ikrafttrædelse allerede den 1. januar 2025. Implementeringsloven for den finansielle sektors NIS 2-forpligtelser fremgår her (se §333 og fremad) og er allerede trådt i kraft.
NIS 2-direktivet og gennemførelsesretsakter
NIS 2-direktivet lægger op til, at EU-Kommissionen kan vedtage gennemførelsesretsakter for så vidt angår den konkrete og tekniske implementering af visse af direktivets forpligtelser (bl.a. sikkerhedsforanstaltninger (art 21) og hændelsesrapportering (art 23). Gennemførelsesretsakter er bindende retsakter fra EU, der ift. NIS 2 forpligter medlemsstaterne til at implementere visse bestemmelser på en nærmere angivet måde. De har direkte virkning, så danske virksomheder kan således direkte være underlagt disse, uanset hvorvidt de er gentaget i den danske implementering eller alene eksisterer i egen form.
På nuværende tidspunkt foreligger der gennemførelsesretsakter i udkast for digitale udbydere (cloud, managed services, datacentre, online markedspladser, m.v.). Gennemførelsesretsakterne indeholder omfattende krav til sikkerhedsforanstaltninger, såvel som hændelsesrapportering, der i høj grad udbygger de meget overordnede krav i direktivet. Digitale udbydere bør allerede nu gøre sig bekendt med udkastene og tilpasse sine implementeringstiltag derefter.
Hvem omfattes af NIS 2’s forpligtelser?
Det afgørende for at vurdere, hvorvidt man er omfattet af NIS 2’s krav til cybersikkerhed, kommer an på en række parametre. Sådanne skal vurderes selskab for selskab (cvr-nr), og selskabet omfattes af NIS 2, uanset i hvilket omfang det leverer NIS 2 ydelser.
For det første skal man vurdere, om man leverer ydelser omfattet af lovens bilag 2 og/eller 3.
For det andet skal man vurdere, om man er etableret i EU eller leverer ydelser til EU. For at de danske regler kan finde anvendelse, kræves det som hovedregel, at man er etableret i Danmark, med få undtagelser.
For det tredje finder loven som udgangspunkt kun anvendelse på virksomheder, som overstiger tærskelværdierne for små- og mellemstore virksomheder. Man overskrider disse værdier, når:
- man beskæftiger mindst 50 personer, og
- man omsætter for mindst 10 mio. EUR om året ELLER har en årlig balancesum på 10 mio. EUR
I forhold til tærskelværdierne skal det bemærkes, at i ganske mange tilfælde vil det enkelte selskab alligevel ikke kunne undsige sig at være omfattet af NIS 2 med henvisning til tærskelværdierne, da omsætning og antal medarbejdere oftest vil skulle vurderes på koncernniveau. Det er en konkret vurdering, der afhænger af selskabernes interne afhængighed i koncernen, særligt i forhold til anvendelse af net -og informationssystemer på tværs af koncernen.
Opfylder ens virksomhed alle 3 betingelser, finder den danske implementeringslov anvendelse.
Enheder, der falder ind under de tre betingelser og leverer tjeneste omfattet af lovens bilag 2, betragtes som væsentlige enheder. Der gælder dog visse undtagelser, såsom at statslige myndigheder betragtes som at være væsentlige enheder – uanset størrelse.
Øvrige enheder, der er omfattet, men ikke omfattes af betegnelsen væsentlig enhed, betegnes som vigtige enheder. Forskellen på, om en virksomhed er væsentlig eller vigtig relaterer sig til omfanget af tilsyn og sanktioner, men ellers er kravene under NIS 2 de samme.
Krav om registrering
NIS 2 medfører, at man i sin virksomhed selv skal vurdere, hvorvidt man er omfattet af de ovenstående krav, og i bekræftende tilfælde, skal man registrere sig hos den relevante myndighed, der er ansvarlig for overholdelse af NIS 2-kravene i den pågældende (del)sektor. Dette er en væsentlig forskel fra forpligtelserne efter det tidligere NIS 1-direktiv, hvor man blev udpeget til at være omfattet af direktivets forpligtelser.
Overholdelse af implementeringslovens forpligtelser forudsætter derfor i første omgang, at man vurderer korrekt, hvorvidt man er eller ikke er omfattet – og at man kan godtgøre sin konklusion.
Hvis man leverer tjenester omfattet af flere (del)sektorer, bliver man omfattet af kravene til alle de pågældende (del)sektorer, herunder tilsyn og forskelligartede krav til cybersikkerhed, og man vil derfor potentielt skulle registrere sig ved flere myndigheder.
Derudover skal man være opmærksom på, at for internationale koncerner kan NIS 2 indebære, at der skal ske registrering i flere forskellige jurisdiktioner.
Særligt for offentlige myndigheder
Statslige myndigheder omfattes automatisk af implementeringslovens krav alene på grund af deres myndighedsudøvelse.
Kommuner og universiteter er omfattet, hvis de leverer tjenester omfattet af NIS 2-lovens bilag 2 og/eller 3. Hvorvidt kommunernes myndighedsudøvelse i sig selv skal indebære, at de bliver omfattet af NIS 2, er fortsat uafklaret og afventer konkret håndtering i de underliggende sektorbekendtgørelser.
Indberetning af væsentlige hændelser – hvornår og hvordan?
Når en enhed omfattet af NIS 2 bliver udsat for en ”væsentlig sikkerhedshændelse”, og enheden får kendskab til hændelsen, skal denne enhed uden unødig forsinkelse og inden for 24 timer rapportere en early warning (tidlig varsling) til den relevante myndighed, der beskriver, om den væsentlige hændelse mistænkes at være forårsaget af ulovlige/ondsindede handlinger eller kunne have en grænseoverskridende virkning.
Derudover skal enheden uden unødig forsinkelse og inden for 72 timer efter enheden blev bekendt med sikkerhedshændelsen ajourføre oplysningerne fra den tidlige varsling samt give en indledende vurdering af den væsentlige hændelse, herunder alvor samt kompromitteringsindikatorer, hvis muligt.
Det er vigtigt at være opmærksom på, at de 2 tidsfrister løber parallelt med hinanden. 72-timers fristen starter således ikke ved udgangen af 24-timers fristen. Begge starter, når enheden får kendskab til sikkerhedshændelsen.
En endelig, uddybende rapport skal foreligge en måned efter selve underretningen af sikkerhedshændelsen til den relevante myndighed.
Hvad der udgør en væsentlig hændelse, bliver uddybet i de enkelte bekendtgørelser og gennemførelsesretsakter, da der kan være væsentlige forskelle i, hvornår noget anses for at være en væsentlig sikkerhedshændelse fra (del)sektor til (del)sektor. Det forventes, at det i de enkelte bekendtgørelser konkretiseres på baggrund af elementer såsom ramte antal brugere, nedetid og skadens omfang.
Det forventes, at rapporteringsproceduren kommer til at ske via virk.dk eller lignende portal, tilsvarende hvordan brud på persondatasikkerheden i forhold til GDPR foretages.
Hvilke sikkerhedskrav skal man have styr på?
Implementeringsloven nævner følgende foranstaltninger, som man som minimum skal have implementeret, hvis man er en omfattet enhed:
- Politikker for risikoanalyse og informationssystemsikkerhed.
- Håndtering af hændelser.
- Driftskontinuitet, eksempelvis backup-styring og reetablering efter en katastrofe, og krisestyring.
- Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere.
- Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
- Grundlæggende cyber-hygiejnepraksisser og cybersikkerhedsuddannelse.
- Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
- Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos enheden, hvor det er relevant.
De enkelte beskrevne foranstaltninger er ikke mere uddybet end som sådan, men det må forventes, at de enkelte bekendtgørelser kommer til at uddybe omfanget af de enkelte beskrevne foranstaltninger. Sikkerhedsforanstaltningerne er også udbygget ganske omfattende i gennemførelsesretsakterne for digitale udbydere.
Sanktioner og ledelsesansvar
Det fremgår af direktivet, at
- Væsentlige enheder kan sanktioneres med enten 2% af den samlede globale omsætning eller 10 mio. EUR – hvad end beløb er det højeste.
- Vigtige enheder kan sanktioneres med enten 1,4% af den samlede globale omsætning eller 7 mio. EUR – hvad end beløb er det højeste. Offentlige myndigheder kan sanktioneres, men det er op til hver medlemsstat at fastsætte nærmere regler for dette.
Danmark har imidlertid ikke administrative bøder, så udstedelse af bøde vil ske ved indgivelse af politianmeldelse, hvorefter anklagemyndigheder kan rejse tiltale og i så tilfælde skele til direktivets bødeniveau.
I den danske implementeringslov er der – modsat direktivet - ikke indført et skærpet personligt ledelsesansvar, der går ud over det almindelige ledelsesansvar. Der vil således kun rejses personlige krav/ tiltale mod ledelsesmedlemmer, hvis disse handler groft uagtsomt eller forsætligt.
Det er ledelsesorganet, der er ansvarligt for at godkende sikkerhedsforanstaltningerne, føre tilsyn med gennemførelsen heraf samt sikre, at de er effektive. Ledelsen skal derudover deltage i kurser om cybersikkerhedsrisici og eventuelt tilbyde kurserne til sine ansatte.
Vores anbefaling
Man kan allerede nu følge med i de gennemførelsesretsakter, som Kommissionen vil udstede, der er møntet på gennemførelsen af NIS 2. Selvom Danmark er bagud med implementeringen, er gennemførelsesretsakterne stadig bindende for, hvordan Danmark skal implementere NIS 2, og de vil give en indikation for, hvilke krav, standarder mv., der skal følges, når man implementerer cybersikkerhed i sin virksomhed.
Man bør derudover allerede nu i sin virksomhed begynde at overveje, hvorvidt man er omfattet af implementeringsloven og skal registrere sig som væsentlig eller vigtig enhed. Digitale udbydere skal allerede registrere sig senest den 17. januar 2025, hvorimod øvrige aktører først skal registrere sig den 17. april 2025.
Derudover vil internationale koncerner skulle forholde sig til status for og indhold af lokale implementeringslove i andre medlemsstater, ligesom der også her kan være krav om lokal registrering. Det er meget forskelligt, hvor langt de forskellige medlemslande er med deres implementering. På nuværende tidspunkt ser det ud til, at de fleste lande implementerer direktivkonformt, men at der er forholdsvis stor variation omkring, hvornår de lokale NIS 2 love træder i kraft. Nogle er allerede trådt i kraft, en del træder i kraft til oktober og flere forventes forsinket, tilsvarende Danmark.
Bird & Bird er et internationalt advokatkontor. Vi arbejder på globale NIS 2 implementeringsprojekter på tværs af vores kontorer baseret på lokalt kendskab og globale erfaringer. Kontakt os, hvis du vil vide, hvordan NIS 2-kravene kommer til at påvirke din virksomhed – i DK eller resten af verden - og hvordan vi kan hjælpe jer med at forberede jer.