NIS 2-direktivet: Startskuddet lyder snart

23. maj 2025

Emner: IT-revision og -sikkerhedsrådgivning

Forfatter:

Per Højbjerg Jensen, IT-revision & ERP-rådgivning, Beierholm

NIS 2-direktivet stiller nye krav til cybersikkerheden i EU. Fra 1. juli 2025 træder loven i kraft. Er din virksomhed omfattet? Læs mere om NIS 2 med mulighed for at få afklaret, om direktivet gælder for jeres virksomhed.

Introduktion til NIS 2 og baggrunden for direktivet

NIS 2-direktivet (Network and Information Systems Directive) er en opdatering af det oprindelige NIS-direktiv fra 2016. Formålet med NIS 2 er at styrke cybersikkerheden i EU ved at skærpe kravene til medlemslandenes beskyttelse af kritisk infrastruktur og digitale tjenester. Direktivet træder efter lidt forsinkelse i kraft i Danmark den 1. juli 2025 og får betydelig indvirkning på både offentlige og private organisationer.

NIS 2 fokuserer især på sikkerheden af netværk og informationssystemer, der understøtter kritiske samfundsfunktioner. Dette inkluderer sektorer som energi, transport, bankvæsen, sundhed og digital infrastruktur. Loven kræver, at organisationer implementerer passende tekniske og organisatoriske foranstaltninger for at håndtere risici og sikre kontinuiteten af deres tjenester.

Rejsen mod implementeringen i Danmark

Implementeringen af NIS 2 i Danmark har været en længere proces, der har involveret både nationale myndigheder og private interessenter. Efter vedtagelsen af direktivet i EU har Danmark arbejdet på at tilpasse de nationale lovgivninger og forberede de nødvendige strukturer for at kunne efterleve de nye krav. Dette har inkluderet høringer, workshops og samarbejde med eksperter inden for cybersikkerhed.

Der udgives løbende materialer, der skal hjælpe organisationer med at forstå og efterleve de nye krav. Disse vejledninger er tilgængelige på Styrelsen for Samfundssikkerheds hjemmeside og dækker emner som risikovurdering, hændelseshåndtering og rapporteringspligter. Find nyeste materialer via dette link.

For at lette overgangen til de nye krav, har myndighederne også lanceret et nyt værktøj kaldet “NIS 2-tjek”. Dette værktøj er designet til at hjælpe organisationer med at vurdere, om de er omfattet af NIS 2, og hvilke specifikke krav de skal efterleve. Værktøjet guider brugerne gennem en række spørgsmål og giver en skræddersyet rapport baseret på deres svar. Find værktøjet på sikkerdigital via dette link.

Hvorfor det er vigtigt at vurdere, om man er omfattet

Det er afgørende at få vurderet, om man er omfattet af NIS 2, da manglende overholdelse kan medføre ærgerlige konsekvenser. Udover potentielle bøder og sanktioner kan manglende efterlevelse også skade organisationens omdømme og tillid hos kunder og samarbejdspartnere. Derfor bør alle organisationer, der opererer inden for de berørte sektorer, foretage en grundig vurdering af deres risici og sikkerhedsforanstaltninger. Det er vigtigt at notere sig, at man også som underleverandør til sektorerne kan være berørt.

Hvad bør virksomheder gøre nu?

Det er altid en god idé at evaluere og tilpasse sin it-sikkerhed løbende og sikre, at ledelsen kan træffe beslutninger for området på et oplyst grundlag – også selvom man ikke direkte er omfattet af NIS 2. Men er man en del af de omfattede sektorer, bør man forberede sig på NIS 2s ikrafttræden. Dette inkluderer eksempelvis at gennemgå og opdatere sikkerhedspolitikker og -procedurer, udføre risikovurderinger, sikre korrekt hændelseshåndtering og implementere nødvendige tekniske og organisatoriske foranstaltninger.

Det kan også være en god idé at søge rådgivning fra eksperter inden for cybersikkerhed for at sikre, at man lever op til de nye krav, eller hvis man ønsker assistance til at vurdere, om man er omfattet af direktivet. Hertil kan der hentes hjælp fra Beierholms afdeling for IT-revision & ERP-rådgivning, som både kan hjælpe jeres organisation med at komme i mål med at overholde kravene gennem et struktureret forløb, men også med at lave en uvildig compliance-vurdering af det arbejde, I allerede har udført.