Nye krav til cybersikkerhed for virksomheder og myndigheder med kritiske funktioner ser dagens lys

Den 1. juli træder den danske lovgivning for EU-direktivet NIS2 i kraft, der skal øge cybersikkerheden blandt virksomheder og myndigheder. NIS2-direktivet bygger videre på forgængeren NIS1 og omfatter flere virksomheder end tidligere. 

I takt med udviklingen af den geopolitiske situation er behovet for at styrke cybersikkerheden blevet større. For at gøre danske virksomheder og myndigheder mere cyberrobuste udvides reglerne for cybersikkerhed nu med indførelsen af NIS2. Mads Nørgaard Madsen, leder af PwC’s konsulentforretning og ekspert i cybersikkerhed, forholder sig generelt positivt over for NIS2:

”Implementeringen af NIS2 er et vigtigt skridt mod at gøre Danmark og Europa mere robuste over for cyberangreb. Det er vigtigere end nogensinde før. Den digitale transformation gør os mere forbundne – og dermed også mere afhængige af stabile it-systemer og robuste forsyningskæder. Den nye lovgivning påvirker de virksomheder og myndigheder, vi som samfund er mest afhængige af. Det gælder fx forsyningsvirksomheder, der håndterer spildevand, og virksomheder, der leverer tjenester til datacentre.”

Rammer flere kritiske sektorer 

NIS2 omfatter flere myndigheder og virksomheder, end det var tilfældet med NIS1. Det gælder en lang række kritiske sektorer som bl.a. energi, transport, bankvirksomheder, drikkevand, spildevand, sundhed og offentlig forvaltning. 

”Det er virksomhedernes eget ansvar at vurdere, om de er omfattet af NIS2. Der findes flere faktorer, der afgør dette, men generelt handler det om, hvorvidt virksomheden har en kritisk funktion i samfundet. Det kan være udfordrende for den enkelte virksomhed at lave denne vurdering. Derfor har Ministeriet for Samfundssikkerhed og Beredskab udviklet et værktøj, der skal hjælpe med vurderingen,” siger Mads Nørgaard Madsen. 

Mindre virksomheder er i udgangspunktet ikke omfattet af loven, dog er visse sektorer omfattet uanset størrelse. For at blive betragtet som en mindre virksomhed, må en virksomhed højst beskæftige 50 personer eller have en årlig omsætning og samlet årlig balance på maksimalt 10 mio. euro (ca. 75 mio. kr.). 

Pligt til indberetning indføres 

Med implementeringen af NIS2 udvides reglerne for cybersikkerhed, som hidtil har været reguleret af NIS1. I den forbindelse skærpes tilsynet og sanktionerne med reglerne, og der indføres et indberetningssystem. 

”Med indførelsen af NIS2 bliver tilsynet med reglerne og sanktionerne for lovbrud skærpet. Der indføres også en indberetningspligt, hvor virksomheder skal rapportere om væsentlige hændelser hurtigst muligt og senest inden for 24 timer. Efterfølgende skal virksomheden udfolde indberetningen og vurdere hændelsen inden for 72 timer. For at være væsentlig skal en hændelse skabe driftsforstyrrelser eller medføre et økonomisk tab for virksomheden,” forklarer Mads Nørgaard Madsen.