IT-Branchen har ligesom en lang række andre organisationer bl.a. efterspurgt konkrete vejledninger til virksomhederne, så man vidste, hvilke krav man skulle leve op til.
Det har Ministerium for Samfundssikkerhed og Beredskab ikke bare lyttet til, men de har også inviteret os med ind i deres vejledningsgruppe, hvilket vi naturligvis har takket ja til.
Vejledningsgruppens opgave er at hjælpe ministeriet og sektormyndighederne med at kvalificere vejledningsmaterialet til de NIS2-omfattede virksomheder i Danmark.
Fem forskellige vejledninger på vej
IT-Branchens input til de forskellige vejledningsudkast udarbejdes i regi af IT-Branchens Policy Board for Cybersikkerhed. I alt forventes fem forskellige vejledninger sendt i høring i perioden marts-maj 2025.
De fem vejledninger vil omhandle:
- Anvendelsesområde
- Ledelsesansvar
- Foranstaltninger
- Hændelses- og sårbarhedsunderretning
- Tilsyn
Vejledningen vedr. NIS2-anvendelsesområdet har allerede været i høring. Her efterlyste IT-Branchen bl.a. nogle flere konkrete gråzoneeksempler på omfattede/ikke-omfattede virksomheder samt fokus på selvstændig vejledning til de mange it-virksomheder, der bliver omfattet, fordi de er underleverandører til de direkte NIS2-omfattede virksomheder.
Fra sektorlovgivning til tværgående vejledninger
Et gennemgående tema i mange høringssvar til det oprindelige NIS2-lovudkast var vigtigheden af at få en koordineret og ensartet tolkning af NIS2-direktivet på tværs af de berørte sektorer i Danmark.
Den bekymring har man lyttet til, og man er fra myndighedernes side gået fra at ville lave en række selvstændige bekendtgørelser i de berørte sektorer til i stedet at lave én samlet NIS2-lov med uddybende fortolkninger i lovbemærkningerne. Hertil vil man lave en række vejledninger til virksomhederne, som går på tværs af sektorerne.
Der udarbejdes altså ikke længere sektorspecifikke bekendtgørelser og vejledninger.
Der vil dog fortsat være mulighed for at udarbejde sektorbekendtgørelser i særlige tilfælde. Derudover gælder en særlig EU-gennemførselsretsakt for it-sektoren, som fremsætter en række minimumskrav til f.eks. tekniske foranstaltninger og hændelsesrapportering for virksomheder, der leverer managed services, datacenter- og cloudydelser.
NIS2-loven ser fornuftig ud, men der er stadig knaster
Vi har sammen med andre organisationer fra starten anfægtet den meget korte implementeringsfrist, som virksomhederne står overfor fra publicering af vejledningsmateriale til ikrafttrædelse af NIS2-loven.
I forhold til dette har minister for samfundssikkerhed og beredskab, Torsten Schack Pedersen, udtalt, at det i lyset af processen vil være naturligt, ”at tilsynsmyndighederne ikke hiver bødeblokken frem som det første, men at de i stedet har fokus på vejledning.”
Derudover afgav IT-Branchen i sommeren 2024 et høringssvar til det første lovudkast til en dansk NIS2-lov, hvor vi bl.a. efterlyste:
- Hurtig og konkret vejledning til virksomhederne (kommer i marts-maj 2025)
- Mulighed for bindende svar fra myndighederne på, om man som virksomhed er omfattet af NIS2
- En klar ansvars- og rollefordeling mellem det offentlige og det private cybersikkerhedsmarked ift., hvordan de danske virksomheder bedst muligt ydes hjælp til NIS2-regelefterlevelsen
- Inkludering af kommunerne som fuldt NIS2-omfattede enheder (er vedtaget)
Ministerium for Samfundssikkerhed og Beredskab arbejder desuden på en bekendtgørelse, der skal udpege de kompetente myndigheder, der skal føre tilsyn med NIS2-loven i de forskellige sektorer. Denne bekendtgørelse forventes sendt i høring i april-maj 2025.
For it-sektoren forventes den tilsynsførende myndighed at blive Digitaliseringsstyrelsen.
Hvad er NIS2-direktivet?
NIS2-direktivet, der har til formål at skærpe og ensarte cybersikkerhedskravene til organisationer og virksomheder inden for samfundskritiske sektorer på tværs af EU-medlemslandene, har efterhånden været længe undervejs.
Direktivet blev vedtaget og publiceret i EU i december 2022, og skulle oprindeligt have været implementeret i medlemslandene og i dansk ret senest den 17. oktober 2024.
Efter et par udskydelser og placering af det overordnede implementeringsansvar i Danmark i det nyetablerede Ministerium for Samfundssikkerhed og Beredskab ser køreplanen og vedtagelsesdatoen den 1. juli 2025 nu ud til at holde stik.
Hvis du vil vide mere
Da vi oplever en stor efterspørgsel på guides og hjælp til at kunne leve op til NIS2-direktivet, har vi lavet et NIS2-univers her på siden, hvor du kan finde forskellige beskrivelser, værktøjer og hjælp.
IT-Branchen stiller med vejledningsuniverset viden frit til rådighed for alle NIS2-interesserede.