NIS 2-direktivet

NIS 2-direktivet er et EU-direktiv, der har til formål at sikre et højt fælles niveau af cybersikkerhed i den Europæiske Union. Det erstatter det oprindelige NIS-direktiv fra 2016 og styrker sikkerhedskravene, tager fat på sikkerheden i leverandørkæderne og indfører harmoniserede sanktioner. NIS 2-direktivet blev vedtaget af Europa-Parlamentet og Rådet for Den Europæiske Union i slutningen af 2022 og har været gældende i EU siden 18.10.2024. Medlemslandene skal omsætte direktivet til national lovgivning.

NIS 2 omhandler først og fremmest krav til virksomheder:

Mens NIS 1-direktivet primært beskæftiger sig med kritiske infrastrukturer og udbydere af relevante digitale tjenester, udvider NIS 2-direktivet sektorerne til at omfatte produktionsindustrien: maskinproduktion, producenter af databehandlingsudstyr, elektroniske og optiske produkter, elektrisk udstyr, motorkøretøjer og dele til motorkøretøjer samt anden køretøjsproduktion. Inden for disse brancher er virksomheder med mere end 50 ansatte eller en årlig omsætning eller årsbalance på mere end 10 millioner euro berørt.

For at opnå overensstemmelse med NIS 2 skal de berørte organisationer træffe flere foranstaltninger, bl.a.:

• Risikostyring: Implementering af processer til at identificere og vurdere risici.
• Sikkerhedsforanstaltninger: Introduktion til tekniske og organisatoriske foranstaltninger med henblik på reduktion af risici.
• Rapportering af hændelser: Etablering af procedurer for rapportering af sikkerhedshændelser til de ansvarlige myndigheder.
• Overvågning og audits: Regelmæssig kontrol og evaluering af sikkerhedsforanstaltningerne.

NIS 2 håndhæves af de nationale myndigheder i EU's medlemslande, som er ansvarlige for at overvåge og sikre overholdelse af direktivet. I Tyskland er Bundesamt für Sicherheit in der Informationstechnik (BSI) den ansvarlige myndighed.

Håndhævelsesforanstaltninger:

1. Rapporteringsforpligtelser: Virksomheder skal rapportere sikkerhedshændelser. NIS 2 indfører et rapporteringssystem i tre trin, der skal forbedre gennemsigtigheden og reaktionsevnen.
2. Tilsynsforanstaltninger: I Tyskland har Bundesamt für Sicherheit in der Informationstechnik (BSI) udvidede beføjelser til at udføre audits og inspektioner for at kontrollere, at sikkerhedskravene overholdes.
3. Sanktioner: Hvis direktivet ikke overholdes, kan der pålægges sanktioner, som varierer, afhængigt af hvor alvorlig overtrædelsen er.

Support og rådgivning:
I Tyskland tilbyder Bundesamt für Sicherheit in der Informationstechnik (BSI) berørte virksomheder support og rådgivning for at lette gennemførelsen af NIS 2. Virksomheder bør træffe proaktive foranstaltninger for at forbedre deres IT-sikkerhed og forberede sig på de nye krav. Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) tilbyder mange nyttige oplysninger om cybersikkerhed.

NIS 2, Cyber Resilience Act og maskinforordningen er en del af et omfattende regelsæt i EU, der skal styrke cybersikkerheden og robustheden. Mens NIS 2 fokuserer på sikkerheden i netværk, informationssystemer og krav på virksomhedsniveau, har Cyber Resilience Act til formål at forbedre cybersikkerheden i produkter med digitale elementer. Maskinforordningen supplerer disse foranstaltninger ved at fastlægge sikkerhedskrav til maskiner og industriprodukter.

• Yderligere krav i forbindelse med Industrial Security (bl.a. IEC 62443)
• Den Europæiske Unions Agentur for Cybersikkerhed (ENISA)