NIS2 endeligt vedtaget med få ændringer: Direktivet får stor effekt på dansk erhvervsliv

Den 27. december 2022 blev NIS2-direktivets tekst offentliggjort i Lovtidende og med nogle få ændringer ift. de seneste versioner er nedtællingen for implementering i medlemslandene begyndt. Det betyder, at direktivet skal være implementeret i dansk lov senest den 17. oktober 2024. Med direktivet udvides de omfattede sektorer, fordi de samfundskritiske funktioner suppleres med en række sektorer, der leverer produkter og tjenester, som er væsentlige for samfundsdriften bl.a. post- og kurertjenester, producenter af transportudstyr samt nogle fødevarevirksomheder.

Vil du vide mere om baggrunden for NIS2-direktivet? Læs mere her

Sammenlignet med det første NIS-direktiv er en af de mest markante ændringer sanktioner mod personer i ledelsen hos virksomheder, der ikke lever op til direktivets krav. Det betyder, at topledere i virksomheder, der ikke lever op til direktivets krav kan stilles direkte til ansvar. Derudover er der et krav om ledelsesforankring af cybersikkerhedsarbejdet, hvilket bl.a. indebærer, at ledelsen skal være bekendte med både direktivets krav og den risikostyring, virksomheden har implementeret.

Stor effekt for mange danske virksomheder
En ting er sikkert: rigtig mange danske virksomheder står overfor at skulle investere tid og ressourcer for at kunne leve op til kravene. Det gælder både for de samfundskritiske virksomheder, som også var omfattet af NIS1, fordi der er en række nye krav, de skal leve op til, og det gælder for en række sektorer, som hidtil ikke har været vant til at skulle stå til ansvar overfor myndigheder, når det gælder cybersikkerhed. Til gengæld vil virksomhederne, hvis direktivet får den ønskede effekt, være langt bedre rustet til at modstå digitale trusler og it-kriminalitet, ligesom vi på tværs af EU bliver mere modstandsdygtige overfor cyberangreb.  

Implementeringen af direktivet får altså stor effekt på dansk erhvervsliv, og derfor er ensartet implementering noget, som bør tilstræbes så vidt muligt både på tværs af sektorer og på tværs af EU-landene. For en virksomhed, der fx både leverer strøm og internet til forbrugere, vil det være helt afgørende, at der ikke føres tilsyn fra to forskellige myndigheder, og at lovgivningen er harmoniseret på tværs af sektorer. Det samme gælder for virksomheder, der sælger deres varer og tjenester i flere EU-lande, og derfor er det helt afgørende, at lovgivningsarbejdet harmoniseres. Det kræver bl.a. implementeringsvejledninger fra de europæiske myndigheder, så medlemslandene ikke tolker lovteksten så forskelligt, at virksomheder skal leve op til vidt forskellige krav i de forskellige lande. I Danmark kræver det, at en kompetent myndighed sætter sig for bordenden af den danske implementering, så den danske implementering harmoniseres mest muligt.

Leverandørsikkerhed kan blive en stor udfordring
Et af de største hovedbrud bliver kravet om leverandørsikkerhed. Det betyder helt kort, at de omfattede virksomheder skal sikre, at deres vigtige leverandører – fx it-leverandører – også lever op til direktivets krav. Derfor kan mange danske virksomheder stå i den situation, at en af deres kunder er omfattet af direktivet og de dermed også er omfattet, hvilket kan komme som en overraskelse for nogen. Dansk Erhverv mener, der bør være stor opmærksomhed om dette punkt. Vi risikerer både, at det bliver meget dyrt og ikke får den ønskede effekt, hvis hver enkelt virksomhed selv skal opfinde processer for at identificere kritiske leverandører og finde ud af, hvordan man som kunde sikrer, at ens leverandører lever op til de forskellige krav.   

Dansk Erhverv har fulgt arbejdet nøje og har en løbende dialog med relevante myndigheder og deltager derudover i et projekt af Industriens Fond, som skal kortlægge nøjagtigt, hvilke danske virksomheder vil være omfattet, når NIS2-direktivet træder i kraft. Derudover planlægges en række informationsmøder og webinarer for de berørte virksomheder, hvor førende eksperter kommer med gode råd til, hvordan virksomheder kommer i gang med implementeringen af direktivets krav. På papiret er der lang tid til sommeren 2024, hvor det fristen for implementering forventes af ligge, men det kan kræve relativt store forandringer og allokering af ressourcer. Derfor er Dansk Erhvervs anbefaling hellere at komme i gang før end senere.

En række eksisterende rammeværktøjer, certificering m.v. kan virksomheder allerede nu se mod, da de i hvert fald et stykke hen ad vejen vil hjælpe med at indføre processer og kontroller, der lever op til kravene i NIS2. Det gælder bl.a. ISO-standarden 27001 og mærkningsordningen for digital ansvarlighed, D-mærket. Derudover kan det være en god idé at få eksperter ind udefra til rådgivning og sparring – dette kan bl.a. ske ved at søge puljemidler til cybersikkerhedsrådgivning fra SMV:Digital.

Hvis du som medlem af Dansk Erhverv har spørgsmål til NIS2-direktivet, eller ønsker at bidrage til vores oplysningsindsats overfor danske virksomheder, er du velkommen til at kontakte os.