Cybersikkerheden har i stigende grad været truet i den seneste tid. Dette hænger tæt sammen med den digitale omstilling.
Derfor har EU for nyligt vedtaget et nyt direktiv, NIS2, som har til formål at sikre et højere og mere ensartet niveau af cyber- og informationssikkerhed på tværs af EU. Derudover skal der med det nye direktiv nu føres skarpere tilsyn, og såfremt ledelsen i virksomheder ikke lever op til direktivets krav, kan den gøres ansvarlig for brud på loven.
Er din virksomhed omfattet?
NIS2-direktivet finder anvendelse på offentlige og private enheder, der kategoriseres som vigtige enheder eller væsentlige enheder, og som udøver aktivitet eller leverer ydelser inden for EU.
Vigtige enheder er eksempelvis enheder, der beskæftiger sig med fremstilling af elektronik og maskiner, eller enheder, der beskæftiger sig med fremstilling af fødevarer eller kemikalier, hvorimod væsentlige enheder eksempelvis er bankvirksomhed, energi og offentlig forvaltning.
Små virksomheder, der har en omsætning på mindre end 10 mio. euro og færre end 50 ansatte, bliver som udgangspunkt ikke omfattet af lovgivningen, idet der dog er visse undtagelser.[1]
Hvilke krav stiller direktivet til din virksomhed?
Hvis man er omfattet af direktivet, betyder det, at ledelsen i organisationen skal kende til de regler, der findes i direktivet. Ledelsen har nemlig ansvaret for, at cyberrisici bliver forebygget.
Der er i direktivet krav til risikostyring og generel robusthed. Det vil sige, at virksomheden skal bekæmpe og mindske risikoen for skade. Det nuværende NIS-direktiv, der bliver byttet ud med det nye, bestemmer, at de enheder, der er omfattet af direktivet, skal have rimelige regler og procedurer til sikring af cybersikkerheden.
Det nye direktiv supplerer med krav om visse sikkerhedstiltag, som en virksomhed som minimum skal have. Dette indebærer bl.a., at der skal være procedurer, som skal hjælpe med håndtering af hændelser. Det kunne f.eks. være et konkret cyberangreb.
Derudover skal organisationen havde generelle retningslinjer for at vurdere og analysere trusler mod cybersikkerheden. Hertil kommer endvidere, at den interne kommunikation, korrekt brug af kryptering, forsyningskæder mv. skal sikres i organisationen.
Direktivet indeholder også regler om sanktioner. Den primære sanktion mod organisationer, som ikke opfylder direktivets krav, vil være bødestraf.
Hvad er næste skridt, hvis din virksomhed er omfattet af direktivet?
Som virksomhed, der er omfattet af direktivet, er det for det første vigtigt, at man sætter sig ind i direktivets regler. Dette kan ske ved, at ledelsen inkorporerer de minimumskrav, der findes i direktivet. Derudover bør ledelsen danne sig et overblik over de nuværende tiltag, som sikrer cybersikkerheden i virksomheden, og hvordan disse kan bringes i overensstemmelse med de nye krav.
Medlemsstaterne skal implementere NIS2-direktivet senest den 17. oktober 2024.
Som med meget andet EU-retlig lovgivning kan kravene virke overskuelige og omfattende. Derfor kan det være nødvendigt at søge advokatbistand eller teknisk bistand, så man sikrer sig, at kravene i direktivet efterleves.
