NIS2-direktivet har til formål at forbedre cybersikkerheden i EU og beskytte kritisk infrastruktur mod nedbrud og cybertrusler.
Direktivet skal være implementeret i EU-medlemslandene senest i oktober 2024, og er en opdatering af det tidligere NIS-direktiv, der blev vedtaget i 2016.
Med NIS2 bliver flere organisationer og brancher omfattet direktivet i forhold til NIS1. NIS2 skærper samtidig kravene til cybersikkerhed for de virksomheder, der er omfattet af direktivet.
NIS2 omfatter flere virksomheder end NIS1, og skærper samtidig kravene til cybersikkerhed for de virksomheder, der er omfattet af direktivet.
Det gør direktivet bl.a. ved at:
- Flere virksomheder i udvalgte brancher/sektorer bliver omfattet af NIS2-direktivet
- Virksomheder skal kunne dokumentere en risikostyringsmodel med en minimumsliste over basale sikkerhedselementer
- Man skal have retningslinjer for hændelsesrapporteringer
- Dokumentere sikkerheden i forsyningskæder og i forhold til f.eks. it-leverandører
- Harmonisere de bøder og sanktionsmuligheder, man kan blive ramt af, hvis man ikke lever op til kravene
Sidst men ikke mindst kommer der er en række nye sanktioner, hvis man ikke overholder NIS2-direktivet, som bl.a. kan omfatte bødestraf, midlertidige forbud mod at udøve erhvervsvirksomhed for ledelsen og opløsning af virksomheder.
NIS2 skal også forbedre samarbejdet mellem medlemslandene på cybersikkerhedsområdet. Dette sker gennem ENISA og gennem krav om udveksling af oplysninger om cybersikkerhedshændelser.
Hvis du vil vide mere om NIS2
Da vi oplever en stor efterspørgsel på guides og hjælp til at kunne leve op til NIS2-direktivet, har vi lavet et lille NIS2-univers her på siden, hvor du kan finde forskellige beskrivelser, værktøjer og hjælp.
Universet vil løbende blive opdateret, efterhånden som der bliver mere offentliggjort mht. den danske implementering af NIS2-direktivet.