Så kom de to første af de i alt fem NIS2-vejledninger, som Styrelsen for Samfundssikkerhed har planlagt, skal publiceres inden sommerferien.
Et arbejde som IT-Branchen er tæt inde over og løbende giver input til.
Find ud af om du er omfattet af NIS2-direktivet
Den første guide ”Vejledning om anvendelsesområdet” skal hjælpe virksomheder og offentlige myndigheder med at vurdere, om de overhovedet er omfattet af NIS2-reglerne.
Styrelsen for Samfundssikkerhed skriver, at vejledningen ikke i alle tilfælde vil kunne give entydigt svar på, om man er direkte omfattet, men at den skal ses som en hjælp til dette.
Som udgangspunkt omfatter NIS2-loven offentlige myndigheder og virksomheder, ”som er etableret i Danmark, leverer tjenesteydelser i EU, og som udfører aktiviteter eller leverer tjenester, som er oplistet i NIS 2-lovens bilag 1 og 2.”
Derudover skal enheden opfylde mindst én af følgende betingelser:
- Beskæftiger mindst 50 årsværk
- Har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR
Virksomheder som f.eks. it-leverandører kan dog være indirekte omfattet af NIS2, hvilket vi har skrevet lidt mere om på vores NIS2-univers.
Leverer man tjenester eller varer til en, der er omfattet af NIS2, kan man blive mødt med NIS2-krav, selvom man ikke selv er omfattet af NIS2-loven.
Det betyder ikke, at NIS2-omfattede myndigheder eller virksomheder automatisk kan stille præcis de samme krav til deres leverandører, som de selv er underlagt, eller at de skal kræve f.eks. en særlig certificering eller revisionserklæring af deres leverandører.
Men det betyder, at de aktivt skal vurdere de risici, som en leverandørs leverancer udgør for den deres net- og informationssystemer. Og den vurdering kan medføre, at de så stiller krav til sin leverandør, om at denne implementerer forskellige sikkerhedsforanstaltninger.
Dette vil blive uddybet yderligere i vejledning om implementering af cybersikkerhedsforanstaltninger, som pt. ikke er publiceret.
Ledelsen rolle i forhold til NIS2-loven
Den anden guide ”Vejledning om ledelsens rolle og opgaver” skal hjælpe bestyrelser og direktionen med at finde ud af, hvad der stilles af krav til dem mht. NIS2-reglerne.
I flere virksomheder har man i dag uddelt dette ansvarsområde til f.eks. et cyber- og informationssikkerhedsudvalg, revisionsudvalg eller lignende med repræsentanter fra ledelsesorganet.
Det kan man fortsætte med, men i vejledningen understreges det, at det fortsat vil være direktionen, der har det endelige ansvaret for, at man lever op til forpligtelserne i NIS2-loven. Ledelsen bør derfor overvåge og påse, at udvalget udfører opgaverne korrekt.
Ledelsens opgaver ift. cybersikkerhed er ikke anderledes end andre risikostyringsområder, hvor de skal vurdere og føre kontrol med virksomhedens risici.
Helt konkret skal ledelsen:
- Godkende cybersikkerhedsforanstaltningerne. Det vil sige de tekniske, operationelle og organisatoriske sikkerhedstiltag, som virksomheden træffer på baggrund af forpligtelserne i NIS2-loven.
- Forholde sig til, hvad der er et passende sikkerhedsniveau for virksomhedens net- og informationssystemer set i forhold til deres risikoeksponering og den samfundsmæssige betydning af de tjenester og services, som de leverer.
- På et overordnet og strategisk niveau skal træffe beslutning om, hvilke foranstaltninger organisationen skal have, og hvornår beskyttelsen er tilstrækkelig.
Hvis du vil vide mere
Her kan du læse hele vejledningen ”Vejledning om anvendelsesområdet” og her kan du læse hele vejledningen ”Vejledning om ledelsens rolle og opgaver”.
Da vi får mange spørgsmål omkring NIS2-direktivet, har vi udarbejdet et helt NIS2-univers, hvor vi har samlet fakta, guides og forklaringer, så man kan blive klogere på, hvad man skal leve op til som virksomhed.
20. maj afholder vi et webinar “Er du klar til NIS2? Forstå loven og de nye krav“, hvor vi vil kigge nærmere NIS2-vejledningerne.
Er du interesseret i, hvad vi mere generelt laver omkring cybersikkerhed, kan du læse mere om vores Policy Board for Cybersikkerhed her. Og så er du altid velkommen til at kontakte chefkonsulent Troels Johansen, der er ansvarlig for området eller benytte vores gratis juridiske rådgivning på området.
