Nummer: 154

NIS 2-direktivet

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet)

Dato:
13. september 2023
Type af anbefaling:
Implementeringsplan for EU-retsakter
Tema:
Øvrige anbefalinger
Ansvarlig ministerium:
Forsvarsministeriet
Titel + EU-nummerering Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltnin-ger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophæ-velse af direktiv (EU) 2016/1148 (NIS 2-direktivet)
Type retsakt og harmoniseringsgrad Direktiv. Minimumsharmonisering

Indflyvningstekst  

NIS 2-direktivet ophæver og erstatter Europa Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS 1-direktivet). 

EU’s evaluering af NIS 1-direktivet viste, at NIS 1-direktivet havde iboende mangler som forhindrede det i effektivt at tackle aktuelle og nye cybersikkerhedsudfordringer. Evalueringen viste blandt andet, at der var store forskelle mellem medlemsstaterne i forhold til afgrænsningen af direktivets anvendelsesområde (hvilke enheder, der ansås for omfattet) samt i forhold til fastsættelsen af de cybersikkerhedsforanstaltninger og rapporteringsforpligtelser, der pålagdes de omfattede enheder, fordi direktivet på disse områder overlod medlemsstaterne et vidt skøn. 

Formålet med NIS 2-direktivet er derfor at skabe et højere og mere ensartet cybersikkerhedsniveau på tværs af medlemsstaterne. 

Direktivet fastsætter blandt andet nærmere regler for cybersikkerhedsforanstaltninger (artikel 21) og rapporteringsforpligtelser (artikel 23), mekanismer for effektivt samarbejde på nationalt plan og på EU-plan (kapitel II og III), ligesom direktivet tilvejebringer styrkede tilsyns- og håndhævelsesbeføjelser (kapitel VII), der skal bidrage til at sikre en effektiv overholdelse og håndhævelse af forpligtelserne i direktivet. Derudover fastsætter direktivet nærmere regler for, hvilke enheder der omfattes af direktivets anvendelsesområde (artikel 2), og udvider antallet af omfattede sektorer og typer af enheder (bilag I og II).  Samlet set overlader NIS 2-direktivet dermed et mindre skøn til medlemsstaterne sammenlignet med NIS 1-direktivet.

Konsekvenser for erhvervslivet

NIS 2-direktivets anvendelsesområde:

Med NIS 2-direktivet omfattes – som nævnt ovenfor – en række nye sektorer, ligesom anvendelsesområdet for visse sektorer, der i dag er omfattet af NIS 1-direktivet, udvides til at omfatte flere enheder inden for de enkelte sektorer.

NIS 2-direktivet omfatter følgende sektorer (bilag I og II):

•    Energi 
•    Transport
•    Bankvirksomhed
•    Finansielle markedsinfrastrukturer
•    Sundhed
•    Drikkevand
•    Spildevand 
•    Digital infrastruktur
•    Forvaltning af IKT-tjenester (business-to-business)
•    Offentlig forvaltning 
•    Rummet
•    Post- og kurertjenester 
•    Affaldshåndtering 
•    Fremstilling, produktion og distribution af kemikalier
•    Produktion, tilvirkning og distribution af fødevarer 
•    Fremstilling 
•    Digitale udbydere 
•    Forskning 
Desuden oplister direktivets bilag I og II nærmere hvilke typer af enheder, der er omfattet af de nævnte sektorer. 

Direktivets artikel 2 fastsætter derudover detaljerede regler for, hvilke enheder, der omfattes af direktivets anvendelsesområde. 

Direktivet har således til hensigt at fastsætte mere ensartede kriterier for, hvilke enheder under de enkelte sektorer der omfattes af direktivets anvendelsesområde modsat NIS 1-direktivet, hvor medlemsstaterne havde ansvaret for at identificere omfattede enheder. Henset til det tidlige stadium i implementeringsfasen er der imidlertid ikke på nuværende tidspunkt et overblik over, hvor mange danske virksomheder m.v. der umiddelbart vil blive omfattet af direktivet. En nærmere vurdering heraf vil blive foretaget i forbindelse med det videre implementeringsarbejde, herunder ved vurderingen af de erhvervsøkonomiske konsekvenser forbundet med direktivets implementering. 

Kravene til de omfattede sektorer, herunder enheder:

Direktivet fastsætter – som nævnt – en række krav om cybersikkerhedsforanstaltninger med henblik på at styre risiciene for sikkerheden i net- og informationssystemer, hvilket skal tilvejebringe et sikkerhedsniveau, der skal stå i forhold til risiciene (artikel 21). Ligeledes fastsætter direktivet – som nævnt – regler om rapporteringsforpligtelser, hvorefter der skal ske underretning om hændelser, der har væsentlig indvirkning på leveringen af enhedernes tjenester (artikel 23). 

Afhængig af enhedernes nuværende sikkerhedsniveau samt ændringer i trusselsbilledet kan direktivet således få væsentlige økonomiske konsekvenser for enhederne (administrative konsekvenser over 4 mio. kr. og øvrige efterlevelsesomkostninger over 10 mio. kr.). Det nærmere indhold af foranstaltningerne vil blive fastlagt under hensyntagen til de særlige forhold, der måtte gøre sig gældende for de enkelte sektorer.

Metode til implementering  

Implementeringen af direktivet vil kræve udarbejdelse af nye love og bekendtgørelser, ligesom det må forventes, at gældende danske regler, der implementerede NIS 1-direktivet, skal ændres eller ophæves.

Inddragelse af interessenter

Der er fokus på, at mange interessenter er opmærksomme på den kommende implementering af NIS 2-direktivet, og at direktivet kan have væsentlige konsekvenser for erhvervslivet.
Det er forventningen, at der forud for den offentlige høring vil ske en passende inddragelse af erhvervslivet, eksempelvis ved præhøring af relevante erhvervs- og interesseorganisationer.  

Undersøgelse af implementering i andre EU-lande    

Direktivet sigter – som tidligere nævnt – blandt andet mod at minimere forskellene på tværs af medlemsstaterne i de krav om cybersikkerhedsforanstaltninger og rapporteringsforpligtelser, der pålægges enheder. Direktivet fastsætter derfor mekanismer for effektivt samarbejde mellem de ansvarlige myndigheder i hver medlemsstat og på EU-plan. 

Direktivet foreskriver blandt andet, at der nedsættes en samarbejdsgruppe, der består af repræsentanter fra medlemsstaterne, Kommissionen og ENISA (Den Europæiske Unions Agentur for Cybersikkerhed) (artikel 14). I praksis vil der være tale om, at den eksisterende samarbejdsgruppe etableret efter NIS 1-direktivet videreføres. Samarbejdsgruppen får blandt andet til opgave at udveksle bedste praksis og oplysninger vedrørende gennemførelsen af NIS 2-direktivet. 

Danmark vil deltage aktivt i samarbejdsgruppen med henblik på gennem videndeling og koordination at bidrage til, at der i videst muligt omfang sker en ensartet implementering på tværs af medlemsstaterne, herunder ved fastsættelsen af cybersikkerhedsforanstaltninger.

Særlige hensyn i dansk kontekst  

Der er på nuværende tidspunkt ikke identificeret særlige hensyn i dansk kontekst, der skal tages højde for i forbindelse med implementeringen af NIS 2-direktivet. 
 

Forummets bemærkninger til implementeringsplanen


Sammenfattende eller overordnede bemærkninger

Erhvervslivets EU- og Regelforum takker for den fremsendte implementeringsplan., Regelforum vil, initialt, påpege at det eksisterende NIS1-direktiv har opfyldt sit formål på visse områder, herunder søtransportsområdet. Det fremhæves, at reguleringen af den globale søtransport bedst håndteres af Den Internationale Søfartsorganisation, og at der på dette område allerede eksisterer velfungerende speciallovgivning. 
Erhvervslivets EU- og Regelforum har derudover følgende anbefalinger og bemærkninger til de konkrete punkter i implementeringsplanen.

Konsekvenser for erhvervslivet 

Der er fortsat mange ubekendte i den nationale implementering af NIS2, og en af erfaringerne fra implementeringen af GDPR er, at det er vigtigt, at der er kommunikation og vejledning til virksomhederne i god tid, inden at de skal leve op til reguleringens krav. Med det in mente, er det værd at bemærke, at det ikke er afklaret, hvilke myndigheder, der kommer til at være nationale kompetente myndigheder og om der fortsættes med det rene sektoransvarsprincip, hvor omkring 16 ministerier skal fastsætte krav og føre tilsyn med enhederne indenfor deres sektor, eller om vi får én centraliseret implementering, hvor f.eks. Center for Cybersikkerhed kommer til at fastlægge samtlige krav, efterlevelse og føre tilsyn på tværs af samtlige sektorer.

Modellen for de enkelte myndigheders rolle i den nationale implementering kommer til at spille en stor rolle for de byrder, der lægges på virksomhederne som følge af reguleringen. Der ønskes en så ensartet og central som mulig implementering af NIS2 i DK, så virksomheder ikke potentielt skal forholde sig til forskellige krav og tilsyn, hvis de er omfattet af mere end en sektor. Samtidig er det dog vigtigt med inddragelse af de enkelte sektorers viden om sektorens styrker og udfordringer, herunder også om identifikation af omfattede enheder indenfor den enkelte sektor.

Der er brug for at bløde sektoransvarsprincippet op, så den sektorspecifikke viden inddrages i en så centraliseret og ensartet implementering så muligt. Målet må være at skabe gennemsigtighed og forudsigelighed for virksomhedernes efterlevelse af NIS2. Det betyder blandt andet også, at den praksis og de internationale standarder, som virksomhederne i forvejen implementerer cybersikkerhed efter, bør indgå i myndighedernes endelige kravudformning. Samtidig bør modellen for den nationale implementering af NIS2 tage hensyn til, at der allerede nu eksisterer en mangel på de kompetencer, som både myndighedernes tilsyn og NIS2-organisering og virksomhedernes større behov for it-sikkerhed kommer til at efterspørge. 

Når modellen for den nationale implementering er fastlagt, er det vigtigt for virksomhederne, at der kommer så tidlig vejledning fra myndighederne som muligt. I forlængelse heraf opfordrer Regelforum myndighederne til at fastlægge de konkrete krav til efterlevelse af it-sikkerhedskravene i reguleringen så tæt på den eksisterende it-sikkerhedspraksis så muligt, fremfor at designe nye måder at leve op til it-sikkerhed på.  
 
I Danmark er vi ved at implementere en dansk mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse – D-mærket -, som baserer sine krav på internationale rammeværker. Regelforum opfordrer til, at myndighederne inddrager og koordinerer med D-mærket i processen frem mod fastlæggelse af de endelige krav til efterlevelse af NIS2-direktivet i Danmark.
 
I arbejdet med at afklare, hvilke enheder (virksomheder) der omfattes af direktivet vil der i praksis være tale om både de virksomheder, der omfattes direkte af direktivet i Danmark, og de virksomheder, som omfattes indirekte. Sidstnævnte vil være en lang række leverandører til de direkte omfattede virksomheder, og der er ikke på samme måde som ved de direkte omfattede virksomheder et bilag, der kan medvirke til at afgrænse de indirekte omfattede leverandører. Regelforum opfordrer derfor til, at man i implementeringen tidligt også tager stilling til, hvilke faktorer, der skal være til stede eller på anden vis vejleder virksomhederne til, hvilke leverandører, der bliver indirekte omfattet af direktivet og i hvilket omfang de i praksis skal leve op til kravene i NIS2.

Der stilles stigende krav til virksomhedernes indrapportering på det digitale område. I forbindelse med kravet om indrapportering af brud på persondatasikkerheden, da GDPR fik virkning i 2018, var der tale om etablering af en intelligent fælles indberetningsløsning fra de offentlige myndigheder, så virksomhederne eksempelvis ved et brud på it-sikkerheden indrapporterede hændelse en gang, og så blev indrapporteringen fordelt til de relevante myndigheder efterfølgende. I lyset af de kommende rapporteringskrav i regi af NIS2 bør tankerne om en mere intelligent offentlig indberetningsløsning genoplives for at gøre det så let for erhvervslivet så muligt at indberette it-sikkerhedshændelser til de forskellige myndigheder og i regi af de forskellige lovgivninger.


Metode til implementering 

Regelforum henviser først og fremmest til anbefalingen under ovenstående afsnit ”konsekvenser for erhvervslivet”. 
Regelforum havde dertil gerne set, og anbefaler, at det, inden implementering, gøres tydeligt hvilke love og bekendtgørelser der forventes at implementere direktivet, samt hvilke danske regler man forventer at skulle ophæve eller ændre. 

Inddragelse af interessenter 

Regelforum bemærker at dets medlemmer gerne deltager i det efterfølgende implementeringsarbejde.

Regelforum anbefaler desuden at det, udover de i implementeringsplanen nævnte interessenter, vil være relevant at inddrage arbejde, udarbejdet i regi af Industriens Fond i samarbejde med Dansk industri og en række aktører, vedrørende kortlægning af de omfattede virksomheder samt en modenhedsanalyse af disse virksomheder. D-mærket, som nævnt tidligere, er en anden relevant part som bør inddrages.

Undersøgelse af implementering i andre EU-lande 

Regelforum anbefaler en aktiv dansk deltagelse omkring videndeling og koordination, for at bidrage til, at der i videst muligt omfang sker en ensartet implementering på tværs af medlemsstaterne, samtidig med at det erindres der kan være forskellige nationale risikovurderinger, og derfor behov for forskellige cybersikkerhedsforanstaltninger.

Regelforum bemærker desuden at det, i forbindelse med koordinationsarbejdet på tværs af EU, er afgørende at der sikres klarhed over forpligtelser for virksomheder, der agerer i flere forskellige lande og minimering af forskellige krav til samme virksomheder på tværs af medlemslandene.

Særlige hensyn

Regelforum anbefaler, da danske virksomheder er blandt de mest digitale i EU, at den konkrete udmøntning af krav til danske virksomheder, i så høj grad som muligt, baserer sig på allerede udbredte sikkerhedstiltag, standarder og principper.