NIS2-direktivet skal sikre et højt fælles cybersikkerhedsniveau på tværs af EU-landene, og direktivet er en opgradering af det nuværende NIS-direktiv i anerkendelse af et globalt ændret trusselsbillede.
Direktivet har fokus på relevante cybertrusler og sikkerhed relateret til net- og informationssystemer. Direktivet finder anvendelse for organisationer i visse udvalgte sektorer.
For at sikre opretholdelsen af kritiske enheder sætter NIS2 øgede krav til risikostyring, indberetning af hændelser, dokumentation og de facto-håndhævelse i den daglige drift. De omfattede organisationer skal blandt andet kortlægge relevante systemer, identificere kritiske faktorer for driftskontinuiteten, foretage en risikovurdering, verificere nuværende sikkerhedsniveau, udarbejde politikker og procedurer for effektiv risikostyring, udarbejde hændelseslog og have klare procedurer for krisestyring samt en beredskabsplan.
Lovforslag sendt i høring
Det konkrete lovforslag blev fremsat den 15. november 2023 og har blandt andet til formål at implementere NIS2-direktivet inden for den finansielle sektor. Foranstaltningerne i lovforslaget, der skal sikre en effektiv styring af it- og cyberrisici, er en næsten identisk implementering af ordlyden af kravene i NIS2-direktivets artikel 21.
Lovforslaget slår fast, at det er bestyrelserne i de omfattede organisationer, der er ansvarlige for it- og cyberrisikostyring og som derfor skal godkende organisationernes cybersikkerhedsstrategier.
Lovforslaget konkretiserer samtidig kravene til organisationernes styring og indberetning af it- og cyberhændelser. Finanstilsynet bliver den tilsynsførende myndighed, og Finanstilsynet får dermed beføjelser til blandt andet at pålægge organisationerne audits og ultimativt midlertidig suspension af certificeringer samt forbud mod ledelsesmedlemmers fortsatte ledelsesfunktion.
Organisationer inden for den finansielle sektor bør foruden NIS2-kravene også være opmærksomme på den mere sektorspecifikke DORA-forordning, som finder anvendelse fra den 17. januar 2025.
NIS2-direktivet blev vedtaget af EU den 27. december 2022 og skal senest være fuldt implementeret i dansk ret den 18. oktober 2024.
Høringsfristen for lovforslaget udløber den 20. december 2023.
Lovforslaget kan læses på høringsportalen her.
Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.
-medium.jpg)
-medium.jpg)