Nummer: 18

NIS-DIREKTIVET

Det er væsentligt at Danmark deltager aktivt i evalueringen af direktivet så en større grad af harmonisering og et højt niveau for beskyttelse af de samfundskritiske sektorer sikres mod cyberangreb.

Dato:
22. juni 2020
Type af anbefaling:
Tidlig interessevaretagelse i EU
Tema:
Tidlig interessevaretagelse
Ansvarlig ministerium:
Forsvarsministeriet
Status på anbefaling:
Følges
Undertitel TIV 5

Problem

Der er er en række udfordringer med det eksisterende direktiv fx er der brug for en større harmonisering i implementeringen på tværs af EU.

Der opleves fx en utilstrækkelig harmonisering i forhold til indberetning af cyber-sikkerhedshændelser til de nationale myndigheder, manglende henvisning til at tredjepartstjenesteudbydere, kan deltage i EØS aktiviteter.

Det er væsentligt at sikre, at EU's finansielle økosystem har et tilfredsstillende ensartet og vedvarende højt niveau af modstandsdygtighed over for cyberangreb.

Berørt EU-regulering

Direktiv 2016/1148 – NIS-direktivet

Berørt dansk lovgivning

Implementeringen af NIS-direktivet er gennemført via flere love og bekendtgørelser fra maj 2018 med forskellige administrerende myndigheder. Endvidere er lov om net- og informationssikkerhed” (Lov nr. 1567 af 15/12/2015) berørt af anbefalingen.

Berørte virksomheder

Virksomheder der er identificeret som væsentlige operatører inden for nationale samfundskritiske sektorer (finans, tele, energi, transport, vand, sundhed og operatører af essentielle it-services), men kan evt. også berøre andre sektorer. Der er indikatorer på, at det nye direktiv vil komme til at omfatte alle tredjeparter, der er en væsentlig del af leverancekæden på lige fod med outsourcingbekendtgørelsen.  

Begrundelse

NIS-direktivet sikrer, at centrale dele af den danske og europæiske infrastruktur inden for en række sektorer beskyttes mod cyberangreb. En evaluering af direktivet er derfor væsentlig i forhold til sikre at der et stilstrækkeligt højt niveau for beskyttelse af de samfundskritiske sektorer mod cyberangreb i EU. Direktivet indeholder en række krav til de væsentlige operatører inden for de forskellige sektorer og stiller blandt andet krav om en national cyberstrategi, underretning mm.  Det er derfor væsentligt at følge evalueringen tæt.

Anbefaling

Det anbefales at have fokus på evalueringen af dette direktiv og inddrage de nationale kritiske sektorer i dette arbejde, der kan bidrage med konkrete erfaringer og relevant ekspertise.

Igangværende dansk indsats

Der er vedtaget en national cyberstrategi og delstrategier for hver af de samfundskritiske sektorer som løber frem til 2021. Sektor strategierne evalueres løbende

Regeringens svar til Regelforum

Regeringen medtager Regelforums anbefalinger i det igangværende arbejde med udformningen
af det danske bidrag til EU-Kommissionens gennemgang af NIS-direktivet. Den tidlige
interessevaretagelse er iværksat, og regeringen har blandt andet etableret en dansk NIS-interessentkreds bestående af repræsentanter for de nationale kritiske sektorer, som har ansvar for implementering og gennemførelse af NIS-direktivet i de enkelte sektorer.

Kredsen inddrages løbende i udformningen af danske bidrag til EU-Kommissionens gennemgang af direktivet. I arbejdet vil det være en prioritet, at der sikres et højt net- og informationssikkerhedsniveau, samt at der også fremover tages højde for medlemslandenes forskellighed og forskellige organisering i sektorerne. Sektorerne og øvrige relevante aktører inddrages i arbejdet af det respektive ressortansvarlige ministerium efter en nærmere vurdering.