NIS 2-direktivet: sikring af net- og informationssystemer

Cybersikkerhed omfatter beskyttelse af net- og informationssystemer (NIS), deres brugere og andre berørte personer mod cyberhændelser og -trusler. Som reaktion på Europas øgede eksponering for cybertrusler erstattede direktiv 2022/2555, også kendt som NIS 2, sin forgænger, direktiv 2016/1148 eller NIS1. NIS2 hæver EU's fælles ambitionsniveau for cybersikkerhed gennem et bredere anvendelsesområde, klarere regler og stærkere tilsynsværktøjer. Det kræver, at medlemsstaterne forbedrer deres cybersikkerhedskapacitet, samtidig med at de indfører risikostyringsforanstaltninger og rapporteringskrav til enheder fra flere sektorer og fastsætter regler for samarbejde, informationsudveksling, tilsyn og håndhævelse af cybersikkerhedsforanstaltninger.

Direktivet giver hver medlemsstat mandat til at vedtage en national cybersikkerhedsstrategi, som omfatter politikker for forsyningskædesikkerhed, sårbarhedsstyring og uddannelse i og bevidsthed om cybersikkerhed. Medlemsstaterne skal også udarbejde og regelmæssigt ajourføre en liste over operatører af væsentlige tjenester for at sikre, at disse enheder opfylder direktivets krav.

Ud over de sektorer, der allerede er omfattet af NIS 1 — energi, transport, sundhedspleje, finans, vandforvaltning og digital infrastruktur — finder de nye regler også anvendelse på udbydere af offentlig elektronisk kommunikation, flere digitale tjenester (såsom sociale platforme), affaldshåndtering og spildevandshåndtering, fremstilling af kritiske produkter, post- og kurertjenester og offentlig forvaltning på både centralt og regionalt plan samt rumsektoren. Som hovedregel vil mellemstore og store enheder i disse kritiske sektorer skulle træffe passende foranstaltninger til styring af cybersikkerhedsrisici og underrette de relevante nationale myndigheder om væsentlige hændelser. Der er tale om hændelser, der kan forårsage betydelige forstyrrelser eller skader.

Direktivet indeholder også bestemmelser om tilsyn, håndhævelse og frivillige peerevalueringer for at øge den gensidige tillid og cybersikkerhedskapaciteten i hele EU. Den indfører også den øverste ledelses ansvarlighed for manglende overholdelse af foranstaltninger til styring af cybersikkerhedsrisici og gør dermed bestyrelseslokalet opmærksom på cybersikkerhed.

Direktivet opretter et netværk af enheder, der håndterer IT-sikkerhedshændelser (CSIRT'er), for at udveksle oplysninger om cybertrusler og reagere på hændelser. Disse hold er afgørende for at opretholde situationsbevidsthed og tilbyde hjælp. For at håndtere omfattende cybersikkerhedshændelser eller -kriser opretter direktivet det europæiske netværk af forbindelsesorganisationer for cyberkriser (EU-CyCLONe). Dette netværk støtter koordineret forvaltning og sikrer regelmæssig udveksling af oplysninger mellem medlemsstaterne og EU-institutionerne i tilfælde af omfattende hændelser og kriser. 

Sideløbende hermed er NIS-samarbejdsgruppen en platform, der er oprettet ved NIS-direktivet for at lette strategisk samarbejde og informationsudveksling mellem EU's medlemsstater, Europa-Kommissionen og EU's Agentur for Cybersikkerhed (ENISA). Gruppen offentliggør ikkebindende retningslinjer og henstillinger til støtte for gennemførelsen af NIS-direktivet.

Baggrund

NIS 1 (direktiv 2016/1148) var den første omfattende EU-lovgivning, der havde til formål at øge cybersikkerheden i net- og informationssystemer for at sikre vitale tjenester for EU's økonomi og samfund. I december 2020 foreslog Kommissionen at revidere NIS 1, hvilket førte til vedtagelsen af NIS 2, som trådte i kraft i januar 2023. Medlemsstaterne havde indtil den 17. oktober 2024 til at gennemføre NIS 2-direktivet i national ret. NIS 2 ophævede NIS 1 fra den 18. oktober 2024.