Et højere cybersikkerhedsniveau i EU – revisionen af NIS er nu en realitet

Den politiske aftale er i hus - revision af Direktivet for Foranstaltninger, der skal sikre et højt fælles niveau for net- og informationssikkerhed i hele EU (NIS-direktivet) er nu forhandlet på plads.

Ruslands invasion af Ukraine har sat fokus på cybertruslen i hele Europa, og der er meldinger om, at pro-russiske hackere regelmæssigt forsøger at ramme de lande, der støtter Ukraine. Flere af Europa-Parlamentarikerne har blandt andet af denne grund understreget vigtigheden af et mere sikkert Europa. Det har derfor været en prioritet at få opdateret NIS-direktivet, og den 13. maj 2022 blev Europa-Parlamentet og Rådet enige om en foreløbig politisk aftale, der skal sørge for, at lovgivningen følger med den digitale udvikling.

NIS-direktivet i grove træk
NIS-direktivet var det første stykke EU-lovgivning, der vedrører cybersikkerhed og udgjorde de første spadestik i kampen mod cybertrusler. Forslaget blev iværksat for at indsætte juridiske foranstaltninger til at øge det overordnede cybersikkerhedsniveau i EU. Midlet var at pålægge operatører af kritisk infrastruktur, f.eks. energi, transport, og vigtige udbydere af tjenester i informationssamfundet (e-handelsplatforme, sociale netværk o.lign.) og offentlige myndigheder at vedtage hensigtsmæssige foranstaltninger til styring af cybersikkerhedsrisici. Derudover skulle disse også pålægges indberetning af alvorlige hændelser til nationale tilsyns-myndigheder. Det har dog vist sig, at lovgivningen har ledt til en fragmentering af indsatsen på området, da måden, medlemslandene har implementeret reglerne, er forskellig.

Et opdateret direktiv med bredere anvendelse og mere harmonisering
Direktivet, der trådte i kraft i 2018, har ikke sikret det fornødne sikkerhedsniveau mod de cybertrusler, som EU står overfor. Revisionen af NIS-direktivet skal sikre, at cybersikkerheden forbedres i hele unionen samt kortlægge eksisterende og nye problemstillinger samt at finde de lovgivningsmæssige udfordringer og styrker. Kommissionens forslag udvider desuden direktivets anvendelsesområde ved effektivt at forpligte flere enheder og sektorer til at indsætte sikkerhedsforanstaltninger for at øge cybersikkerhedsniveauet på længere sigt. Nedenfor findes en oversigt, som konkretiserer præcist hvilke sektorer, der tidligere var omfattet af NIS-direktivet samt hvilke nye sektorer, der medtages ved revisionen af NIS.

 

Oversigt over tilføjede enheder og sektorer omfattet af NIS2-direktivet.

Tilsvarende indebærer revisionen også bl.a. at styrke sikkerhedskravene, at håndtere cybersikkerheden i forsyningskæder, at strømline rapporteringsforpligtigelser samt at indføre strengere tilsynsforanstaltninger og håndhævelseskrav. Specifikt opstiller NIS2-direktivet minimumskrav til:

• Politikker for risikoanalyse og informationssystemsikkerhed
• Håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
• Driftskontinuitet og krisestyring
• Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
• Politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
• Brug af kryptografi og kryptering
• Cybersikkerhed i forsyningskæder, herunder cybersikkerhed mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester.

På den måde vil man sikre, at hele EU trækker i samme retning. Det er desuden et krav, at virksomheder i løbet af 24 til 72 timer underretter kompetente myndigheder om eventuelle IT-sikkerhedshændelser. I virksomhederne vil det være topledelsens ansvar at godkende sikkerhedsforanstaltninger og føre tilsyn med IT-sikkerheden.

Nøglen til succes er et tættere europæisk samarbejde
En stærkere styringsarkitektur for cybersikkerhed i Europa er et centralt element i NIS2. ENISA (European Network Information Security Agency), Kommissionen og de 27 EU-medlemslande skal arbejde tættere sammen om at udarbejde risikovurdering og fastsætte rammerne for tilsyn.

Der kan potentielt blive uddelt store bøder for en overtrædelse af direktivet. Man skelner mellem ’vigtige’ og ’væsentlige’ virksomheder på baggrund af virksomhedstype og -størrelse. Førstnævnte risikerer at skulle betale op mod to millioner euro eller én pct. af den globale omsætning, mens væsentlige virksomheder kan få bøder på op til fire millioner euro eller to pct. af den globale omsætning.

Implementeringen af ​​NIS2-direktivet markerer derudover den formelle etablering af det europæiske netværk for kriseberedskab og krisestyring i cyberspace, som skal tjene til at udvikle samarbejde og ”koordineret styring” af større hændelser. Desuden introducerer NIS2-direktivet den frivillige mekanisme for ’peer learning’, hvor både medlemslande og interessenter kan dele viden om best practice og udveksle erfaringer. En anden vigtig pointe er, at risikovurderinger bør baseres på fakta og på godkendte og certificerede internationale standarder.

Dansk parlamentariker i spidsen
Morten Løkkegaard, medlem af Renew Europa (Venstre), har spillet en nøglerolle i forhandlingerne på vegne af Europa-Parlamentets Udvalg om det Indre Marked og Forbrugerbeskyttelse (IMCO). Morten Løkkegaard har på vegne af IMCO-udvalget arbejdet for, at rapporteringspligten bliver beskrevet i detaljen, og at der kommer betydelige bøder for ikke at følge reglerne. Derudover har det ligeledes været vigtigt for Venstre-politikeren, at mikro og små virksomheder undtages, hvis de ikke udgør en kritisk enhed. Dansk Erhverv anerkender og istemmer, at det er nogle væsentlige ændringer, og at det er et glimrende stykke parlamentarisk arbejde, Løkkegaard har leveret.

De næste skridt
Da NIS2 er et direktiv, betyder det, at det er op til de enkelte medlemslande, hvordan de bedst muligt implementerer forslaget i national lovgivning, hvilket bl.a. indebærer en proces for at identificere de virksomheder, som omfattes af de nye krav. Det kan betyde væsentlige udgifter, og i en konsekvensanalyse anslås det, at de allerede omfattede sektorer vil skulle hæve deres udgifter til cybersikkerhed med 10 pct., mens de sektorer, der for de virksomheder, der ikke tidligere har været underlagt direktivet, anslås en stigning på 22 pct. i udgifter. 

ENISA, Kommissionen og EU's 27 medlemslande bør samarbejde om harmoniserede regler for cybersikkerhed, der kan bruges på tværs af landegrænser, så det undgås, at man ender i en situation, der ligner den, der opstod omkring NIS-direktivet.

Medlemslandene har 21 måneder til at implementere det i national lov fra direktivets offentliggørelse. Det forventes, at den endelige lovtekst vedtages i efteråret 2022, hvorfor dansk erhvervsliv altså skal forberede sig på at være klar til de nye krav, når vi skriver medio 2024.

Dansk Erhverv vil følge implementeringen af direktivet på tæt hold. Vi ser frem til en god dialog med de relevante myndigheder for snarest muligt at kunne få klargjort, hvilke virksomheder og organisationer som præcist er omfattet direktivet samt få udarbejdet en vejledning til de omfattede. 

Nedenfor findes den endelige kompromistekst, der bekræfter, at medlemsstaterne skal vedtage og offentliggøre reglerne 21 måneder efter datoen for dette direktivs ikrafttrædelse.