Hvem er underlagt NIS2-direktivet?

NIS2 Direktiv fra EU

EU’s medlemslande har vedtaget en opdateret version af Net- og Informationssikkerhedsdirektivet, kendt som NIS2. Medlemsstaterne har frist indtil den 17. oktober 2024 til at implementere dette nye direktiv, som vil indføre skærpede krav til håndhævelse af reglerne og harmonisere sanktionerne på tværs af hele EU.  

NIS2-direktivet repræsenterer en væsentlig udvidelse af det oprindelige NIS-direktiv og har til formål at styrke net- og informationssikkerheden markant i alle medlemslande. 

Indholdsfortegnelse

Omfattede sektorer under NIS2-direktivet

NIS2-direktivet markerer en væsentlig udvidelse i spektret af sektorer, der kræver forbedret cybersikkerhed for at tackle de stigende cybertrusler. Dette direktiv omfatter en bred vifte af kritiske infrastrukturer og serviceområder, hvor robusthed og sikkerhed er afgørende. Her er de primære sektorer, der nu skal sikre sig mod cybertrusler:

  • Energi

Sikring af kraftværker og energidistributionsnet.

  • Transport

Beskyttelse af alt fra jernbaner til lufthavne.

  • Vandforsyning

Vigtig infrastruktur, der sikrer rent drikkevand.

  • Sundhedsvæsen

Beskyttelse af hospitaler og sundhedsdata.

  • Digital infrastruktur

Nøglekomponenter som datacentre og cloud-tjenester.

  • Digitale serviceudbydere

Inkluderer alt fra søgemaskiner til cloud-baserede platforme.

  • Banker og finansmarkeder

Sikring af økonomisk stabilitet gennem beskyttelse af finansielle operationer.

  • Fødevareproduktion

Vigtig for forsyningskædens stabilitet og folkesundheden.

  • Affaldshåndtering

Kritisk for miljøbeskyttelse og ressourcehåndtering.

  • Offentlig administration

Sikring af offentlige tjenester og data.

  • Post- og pakkeservice

En vigtig infrastruktur i e-handelsæraen.

  • Vandspild- og affaldsservices

Kritisk for miljøbeskyttelse og ressourcehåndtering.

  • Rumsektoren

Beskyttelse af satellitter og rumrelaterede teknologier

  • Elektroniske kommunikationstjenester

Omfatter alt fra sociale medier til telekommunikation. 

  • Fremstilling af kritiske produkter:

Kritisk for miljøbeskyttelse og ressourcehåndtering.

Hver af disse sektorer spiller en kritisk rolle i samfundets sikkerhed og stabilitet, og styrkelsen af deres cybersikkerhed er central for NIS2-direktivets mål om at opretholde Europas cyberresiliens.

Er din virksomhed omfattet?

Ifølge direktivet er virksomheder, der har mere end 50 ansatte og en årlig omsætning på mere end 10 mio. euro eller en årlig balance på 43 mio. euro, omfattet.  

Det er vigtigt at bemærke, at det er topledelsen i disse virksomheder, der bærer ansvaret for at implementere og overvåge nødvendige sikkerhedsforanstaltninger. 

For at finde ud af, om din virksomhed er underlagt NIS2, bør du først vurdere, om din virksomhed falder ind under en af de nævnte sektorer. Dernæst skal du vurdere virksomhedens størrelse og økonomiske omsætning i henhold til de nævnte kriterier. 

Er du i tvivl, så er du velkommen til at kontakte IT Confidence for en uforpligtende snak. 

Undtagelser fra NIS2-direktivet

Ikke alle virksomheder er omfattet af NIS2-direktivet.

Mindre virksomheder, som defineres ved at have under 50 ansatte og en årlig omsætning eller en samlet årlig balance på under 10 millioner euro, er generelt undtaget fra direktivets krav.

Dette gælder, selvom disse virksomheder kunne betegnes som væsentlige eller vigtige for samfundet. Medlemsstaterne har dog mulighed for at undtage yderligere specifikke enheder inden for forsvar, national sikkerhed, og retshåndhævelse.

På trods af denne generelle regel er visse typer af mikrovirksomheder og små virksomheder stadig underlagt direktivet. Disse inkluderer:

  • Udbydere af offentlige elektroniske kommunikationsnet eller offentlige tilgængelige elektroniske kommunikationstjenester
  • Tillidstjenesteudbydere, såsom dem der leverer valideringstjenester
  • Udbydere af topdomænenavnregistre (TLD) og domænenavnssystemer (DNS)
  • Enheder, der er eneudbydere af en ydelse i en medlemsstat, som er kritisk for vedligeholdelse af vigtige samfundsmæssige eller økonomiske aktiviteter
  • Enheder, der leverer ydelser, som er kritiske for samfundet, offentligheden eller en specifik sektor

Derudover gælder direktivet også for offentlige enheder på statsligt niveau, regionalt niveau (hvor afbrydelse af ydelser kan have væsentlig betydning for kritiske økonomiske eller samfundsmæssige aktiviteter), og kan i visse tilfælde også gælde på lokalt, dvs. kommunalt niveau.

Er kommuner omfattet af NIS2?

Det er endnu uafklaret, om kommuner vil være direkte omfattet af NIS2-direktivet, der træder i kraft den 18. oktober 2024. Mens NIS2 automatisk inkluderer regionale og centrale myndigheder, er det op til de enkelte medlemsstater at afgøre, om lokale myndigheder som kommuner skal inkluderes.

I Danmark diskuterer regeringen og Kommunernes Landsforening stadig, hvordan direktivet skal implementeres, herunder kommunernes eventuelle inddragelse. Kommunerne anbefales at følge nøje med i denne proces, da de leverer flere kritiske tjenester, som kan blive omfattet af NIS2, såsom sundhedspleje og affaldshåndtering.

Tilsyn og implementering

NIS2-direktivet kræver, at medlemslandene etablerer tilsynsmyndigheder til at overvåge implementeringen og overholdelsen af reglerne.

Disse myndigheder vil også have ansvaret for at sikre, at organisationer, der er omfattet af direktivet, overholder de fastsatte sikkerhedskrav.

Dame der anvender et tidsregistrerings system

Hvad er CER Direktivet? En relateret forordning

CER-direktivet, officielt kendt som Cybersecurity Enhancement Regulation, er en anden EU-forordning, der lige som NIS2 fokuserer på at styrke cybersikkerheden og resiliensen inden for Europas kritiske infrastrukturer. Mens NIS2-direktivet udvider antallet af sektorer og virksomheder, der er underlagt krævende cybersikkerhedsstandarder, har CER et mere snævert og dybdegående fokus. 

CER-direktivet retter særlig opmærksomhed mod at forbedre sikkerheden og robustheden af netværk og informationssystemer, der understøtter vigtige samfundsmæssige funktioner. Dette inkluderer foranstaltninger designet til at forstærke beskyttelsen mod cyberangreb, hvilket er afgørende for at opretholde funktionaliteten af essentielle tjenester, som sundhedssektoren, energiforsyningen og finansielle systemer. 

Skal du have hjælp eller sparring til NIS2?

Forberedelse og compliance med NIS2 er ikke bare en juridisk forpligtelse, men også en vigtig del af din virksomheds strategi for cybersikkerhed.

Hos IT Confidence er vi dedikeret til at hjælpe din virksomhed med at blive og forblive compliant med NIS2. Kontakt os for en dybdegående vurdering og for at sikre, at du er fuldt forberedt til at møde disse nye krav.

IT Confidence registrerede SMV rådgivere

Allan Pedersen

Navn Efternavn

stilling blah blah

Allan Pedersen

Navn Efternavn

stilling blah blah

Allan Pedersen

Navn Efternavn

stilling blah blah

Allan Pedersen

Navn Efternavn

stilling blah blah

Samarbejde med IT Confidence

Ved at samarbejde med IT Confidence, kan du øge chancerne for en succesfuld ansøgning betydeligt, samtidig med at du sikrer, at de foreslåede projekter vil have en reel og positiv indvirkning på din virksomhed.

Kontakt Allan Pedersen på mail alpe@itconficende.dk eller tlf. +45 54 55 65 70. Som i samarbejde med vores SMV:Digital godkendte rådgivere, vil gøre os umage med, at hjælpe netop din virksomhed med, at effektuere forretningen igennem digitalisering, og forhåbentlig komme et skridt nærmere med, at realisere netop jeres digitaliseringsdrømme.

Book et uforpligtende møde med os

Navn(Påkrævet)