Mange danske virksomheder står over for en betydelig udfordring i form af det kommende NIS2-direktiv, som får virkning i oktober 2024. Det vil få en betydelig indvirkning på virksomheders lovgivningsmæssige forpligtelser inden for IT-området i hele EU.

Direktivet stiller bl.a. krav om bl.a. minimering af cyberrisici i form af hændelsesstyring, sikring af forsyningskæder, øget netværkssikkerhed, kryptering og adgangskontrol og om rapportering.

Overraskende nok er mange virksomheder endnu ikke begyndt at forberede sig på denne nye virkelighed.

NIS2-direktivet har til formål at sikre infrastrukturen og samfundskritiske tjenester mod nedbrud og cybertrusler. Det gør det ved at etablere et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af EU. Det skal bidrage til at styrke samfundets modstandsdygtighed over for de stadig mere sofistikerede cybertrusler, vi står over for.

Direktionens ansvar

En af de mest markante ændringer, som NIS2-direktivet medfører, er det øgede ansvar, der pålægges virksomheders direktion. Direktionen vil i langt højere grad få det direkte ansvar for overholdelsen af NIS2. Dette omfatter nye krav til virksomhedens IT, som ved manglende overholdelse kan føre til store bøder.

Hvem er omfattet?

Som udgangspunkt vil NIS2-direktivet omfatte alle større virksomheder i 17 sektorer, herunder energi, finans (bankvirksomhed), finansielle markedsinfrastrukturer, transport, sundhed, drikkevand, spildevand, digital infrastruktur, digitale udbydere, uddannelse, forskning, offentlig forvaltning, post, affaldshåndtering, kemikalier og fødevarer.

Virksomheder med mindre end 50 ansatte er som udgangspunkt undtaget. Dog vil der være tilfælde, hvor NIS2 stadig vil gælde for virksomheder med under 50 ansatte, hvis de er den eneste udbyder af en væsentlig tjeneste i et medlemsland, eller hvis en afbrydelse af deres tjeneste vil have væsentlig indvirkning på den offentlige sikkerhed eller sundhed. Offentlig administration og visse digitale tjenester falder ind under NIS2 uanset deres størrelse.

Anbefalinger til virksomheder

Virksomheder bør først og fremmest undersøger, om de er omfattet af NIS2. Hvis de er det, bør de straks udarbejde en plan for implementering af NIS2. NIS2 bør fylde lige så meget i de omfattede virksomheders bevidsthed, som persondataforordningen gjorde det 6-12 måneder før ikrafttrædelse.