Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny cyberregulering: lovforslag til NIS2, DORA og CER klar til februar 2024

Kromann Reumert
09/10/2023
Ny cyberregulering: lovforslag til NIS2, DORA og CER klar til februar 2024
Kromann Reumert logo
Et nyt folketingsår blev skudt i gang tirsdag den 3. oktober. Her fremlagde statsministeren traditionen tro regeringens lovprogram med en oversigt over de lov- og beslutningsforslag, som regeringen forventer at fremsætte i 2023/2024. På cyberområdet omfatter det blandt andet lovforslag til implementering af NIS2- og CER-direktiverne, der gælder fra den 18. oktober 2024, samt ændringer til blandt andet lov om finansiel virksomhed som følge af DORA-forordningen, der gælder fra den 17. januar 2025. Lovprogrammet løfter blandt andet sløret for en særskilt – og skærpet – cyberregulering af energi- og finanssektoreren.

NIS2, DORA og CER er en del af en større lovpakke fra EU, der skal styrke modstandsdygtigheden mod blandt andet cyberangreb hos en lang række kritiske og vigtige virksomheder (og offentlige myndigheder) indenfor energi, forsyning, transport, finans, sundhed, digital infrastruktur og services, fødevarer og fremstilling/produktion med flere.

Ordforklaring

  • NIS2: Network & Information Security Directive (version 2)
  • DORA: Digital Operational Resiliency Act (forordning)
  • CER: Critical Entities Resilience Directive


De gældende cyberregler (primært NIS1-direktivet) dækker i dag omkring 150 danske virksomheder. De nye regler ventes at omfatte flere tusinde. I mange virksomheder bliver behov for et gearskifte i at få etableret en struktureret (og dokumenteret) tilgang til styring af digitale risici. Det gælder både hos øverste ledelse, i organisationerne og i deres leverandørforhold.

Implementering og tilsyn
Et ofte stillet spørgsmål er, hvordan danske myndigheder dels vil implementere og føre tilsyn med NIS2- og CER-direktiverne, dels vil foretage ændringer i den finansielle regulering som følge af DORA-forordningen. Det giver lovkataloget ikke svaret på, men det giver dog følgende foreløbige billede:

  1. NIS2: "Lov om implementering af NIS2-direktivet" fremsættes af Forsvarsministeren i februar 2024, og omfatter implementering af NIS2 "i en række sektorer". Det tyder således på, at Forsvarsministeriet udarbejder en fælles rammelovgivning, der nærmere skal udmøntes (via bekendtgørelser) hos de udpegede ressortmyndigheder. Vi kender formentlig først de endelige ressortmyndigheder, når lovforslaget er fremlagt. Det ses dog allerede nu, at der lægges op til særskilt cyberlovgivning for energi- og finanssektoren (se pkt. 3 og 4).
  2. CER: "Lov om implementering af CER-direktivet" fremsættes af Forsvarsministeren i februar 2024 og omfatter implementering af CER-direktivet "i en række sektorer". CER omhandler digital og fysisk sikkerhed i konteksten af hybride angreb, naturkatastrofer, terrortrusler og folkesundhedskriser. Reglerne vil gælde for specifikt udpegede virksomheder indenfor 11 kritiske sektorer, og vil delvist have et overlap med NIS2 og DORA.
  3. Energisektor: "Lov om styrket beredskab i energisektoren" fremsættes af Klima-, energi- og forsyningsministeren i februar 2024. Lovforslaget skal sikre implementering af både NIS2 og CER i energisektoren. Den særskilte regulering for energisektoren begrundes med et "højt og markant trusselsniveau mod energisektoren" og behovet for et "ambitiøst beredskabsniveau" samt hjemmel for myndighederne til "sikkerhedsgodkendelse af ansatte med kritiske funktioner".
  4. Finansiel sektor: "Ændring af lov om finansiel virksomhed og forskellige andre love" fremsættes af Erhvervsministeren i februar 2024, og omfatter dels implementering af NIS2 i relation til finansielle datacentraler og IT-operatører af detailbetalingssystemer, dels ændringer til lov om finansiel virksomhed som følge af DORA. I praksis finder DORA anvendelse for alle finansielle virksomheder, samt visse systemiske IT-leverandører (blandt andet de største cloudleverandører). Finanstilsynet vil efter alt at dømme forblive tilsynsmyndighed for fælles datacentraler, IT-operatører af detailbetalingssystemer og øvrige finansielle virksomheder.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Jurainfo Exclusive logo
PODCAST
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Bliv klogere på whistleblowerloven, herunder hvilke virksomheder, der har pligt til at etablere en whistleblowerordning.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Jurainfo logo
EXCLUSIVE
VIDEO
Har du styr på din eksportkontrol, når du eksporterer varer til udlandet?
Eksporterer din virksomhed varer til udlandet? Så er den formentligt underlagt reglerne om eksportkontrol. Annelise Lykke Schmidt, specialist i Trade Compliance, kommer i ovenstående video nærmere ind på reglerne relateret til eksportkontrol.
Artikler, der kunne være relevante for dig
Nyt sanktionsregime i EU mod hybride trusler fra Rusland
Nyt sanktionsregime i EU mod hybride trusler fra Rusland
06/11/2024
Compliance, EU-ret
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted