Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny cyberregulering: lovforslag til NIS2, DORA og CER klar til februar 2024

Kromann Reumert
09/10/2023
Ny cyberregulering: lovforslag til NIS2, DORA og CER klar til februar 2024
Kromann Reumert logo
Et nyt folketingsår blev skudt i gang tirsdag den 3. oktober. Her fremlagde statsministeren traditionen tro regeringens lovprogram med en oversigt over de lov- og beslutningsforslag, som regeringen forventer at fremsætte i 2023/2024. På cyberområdet omfatter det blandt andet lovforslag til implementering af NIS2- og CER-direktiverne, der gælder fra den 18. oktober 2024, samt ændringer til blandt andet lov om finansiel virksomhed som følge af DORA-forordningen, der gælder fra den 17. januar 2025. Lovprogrammet løfter blandt andet sløret for en særskilt – og skærpet – cyberregulering af energi- og finanssektoreren.

NIS2, DORA og CER er en del af en større lovpakke fra EU, der skal styrke modstandsdygtigheden mod blandt andet cyberangreb hos en lang række kritiske og vigtige virksomheder (og offentlige myndigheder) indenfor energi, forsyning, transport, finans, sundhed, digital infrastruktur og services, fødevarer og fremstilling/produktion med flere.

Ordforklaring

  • NIS2: Network & Information Security Directive (version 2)
  • DORA: Digital Operational Resiliency Act (forordning)
  • CER: Critical Entities Resilience Directive


De gældende cyberregler (primært NIS1-direktivet) dækker i dag omkring 150 danske virksomheder. De nye regler ventes at omfatte flere tusinde. I mange virksomheder bliver behov for et gearskifte i at få etableret en struktureret (og dokumenteret) tilgang til styring af digitale risici. Det gælder både hos øverste ledelse, i organisationerne og i deres leverandørforhold.

Implementering og tilsyn
Et ofte stillet spørgsmål er, hvordan danske myndigheder dels vil implementere og føre tilsyn med NIS2- og CER-direktiverne, dels vil foretage ændringer i den finansielle regulering som følge af DORA-forordningen. Det giver lovkataloget ikke svaret på, men det giver dog følgende foreløbige billede:

  1. NIS2: "Lov om implementering af NIS2-direktivet" fremsættes af Forsvarsministeren i februar 2024, og omfatter implementering af NIS2 "i en række sektorer". Det tyder således på, at Forsvarsministeriet udarbejder en fælles rammelovgivning, der nærmere skal udmøntes (via bekendtgørelser) hos de udpegede ressortmyndigheder. Vi kender formentlig først de endelige ressortmyndigheder, når lovforslaget er fremlagt. Det ses dog allerede nu, at der lægges op til særskilt cyberlovgivning for energi- og finanssektoren (se pkt. 3 og 4).
  2. CER: "Lov om implementering af CER-direktivet" fremsættes af Forsvarsministeren i februar 2024 og omfatter implementering af CER-direktivet "i en række sektorer". CER omhandler digital og fysisk sikkerhed i konteksten af hybride angreb, naturkatastrofer, terrortrusler og folkesundhedskriser. Reglerne vil gælde for specifikt udpegede virksomheder indenfor 11 kritiske sektorer, og vil delvist have et overlap med NIS2 og DORA.
  3. Energisektor: "Lov om styrket beredskab i energisektoren" fremsættes af Klima-, energi- og forsyningsministeren i februar 2024. Lovforslaget skal sikre implementering af både NIS2 og CER i energisektoren. Den særskilte regulering for energisektoren begrundes med et "højt og markant trusselsniveau mod energisektoren" og behovet for et "ambitiøst beredskabsniveau" samt hjemmel for myndighederne til "sikkerhedsgodkendelse af ansatte med kritiske funktioner".
  4. Finansiel sektor: "Ændring af lov om finansiel virksomhed og forskellige andre love" fremsættes af Erhvervsministeren i februar 2024, og omfatter dels implementering af NIS2 i relation til finansielle datacentraler og IT-operatører af detailbetalingssystemer, dels ændringer til lov om finansiel virksomhed som følge af DORA. I praksis finder DORA anvendelse for alle finansielle virksomheder, samt visse systemiske IT-leverandører (blandt andet de største cloudleverandører). Finanstilsynet vil efter alt at dømme forblive tilsynsmyndighed for fælles datacentraler, IT-operatører af detailbetalingssystemer og øvrige finansielle virksomheder.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Jurainfo Exclusive logo
PODCAST
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Bliv klogere på whistleblowerloven, herunder hvilke virksomheder, der har pligt til at etablere en whistleblowerordning.
Artikler, der kunne være relevante for dig
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
08/02/2024
Persondata, Kontraktret, Compliance
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
12/02/2024
Persondata, Compliance
Udvidelse af FDI-forordningen på vej
Udvidelse af FDI-forordningen på vej
19/02/2024
Udbud, EU-ret, Compliance
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
AI-forordningen er endelig på plads – hvad nu?
AI-forordningen er endelig på plads – hvad nu?
19/02/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted