Q&A om implementering af NIS-2 direktivet

NIS 2-direktivet (NIS 2) er et EU-direktiv, der skal sikre et højere niveau af cybersikkerhed i hele EU. NIS 2 erstatter det tidligere cybersikkerhedsdirektiv (NIS-1) og skal sikre mere ensartethed, harmonisering og robusthed på tværs af EU-medlemslandene. NIS-2 direktivet stiller derfor skærpede krav til enheders cybersikkerhed, ligesom direktivet omfatter en større kreds af aktører i hvert medlemsland.

NIS 2-direktivet har ikke direkte retsvirkning, men skal gennemføres i Danmark ved lov.

Ministeriet for Samfundssikkerhed og Beredskab har hovedansvaret for implementeringen i Danmark og har fremsat et lovforslag.

Direktivet minimumimplementeres i dansk ret, hvilket betyder, at den danske implementering så vidt muligt ikke går videre end direktivets bestemmelser.

De største forskelle på NIS og NIS 2 er følgende:

Anvendelsesområdet: Efter NIS skulle den kompetente myndighed udpege, hvilke aktører man anså som samfundskritiske. I NIS 2 er der nedskrevet objektive kriterier for, hvornår man er omfattet af direktivet. Det er derfor ikke længere den kompetente myndighed, der skal udpege kritiske aktører – i stedet skal enhederne selv registrere sig, såfremt de falder under anvendelsesområdet.

Ensartede krav: NIS 1-direktivet blev implementeret på en måde, hvor hver medlemsstat skulle udmønte de konkrete krav for, hvordan omfattede enheder efterlevede direktivet. NIS 2-direktivet skaber mere harmonisering i EU og på tværs af sektorer, da kravene er mere konkrete.

Harmonisering, ensartethed og robusthed: NIS 1-direktivet blev implementeret forskelligt i hver medlemsstat, både hvad angår kravene og hvilke aktører, der blev omfattet. De objektive kriterier for anvendelsesområdet efter NIS 2 og de mere konkrete krav for efterlevelse skaber større ensartethed og harmonisering på tværs af medlemslande, ligesom det er forventningen, at NIS 2 vil skabe mere robusthed hvad angår cybersikkerheden i hele EU.

Man skal som udgangspunkt efterleve reglerne, hvis man som virksomhed omfattes af de retsakter, der er oplistet i direktivets bilag 1 og 2, og man samtidig har mindst 50 ansatte eller en årlig omsætning og samlet årlig balance på over 10 mio. EUR.

Helt overordnet omfatter NIS 2-aktører inden for 17 forskellige sektorer, som er delt op i kategorierne ”særligt kritiske sektorer” i bilag 1 og ”andre kritiske sektorer” i bilag 2. Falder man som aktør under bilag 1, kan man både omfattes af direktivet som en væsentlig eller vigtig enhed, hvor man kun kan omfattes som en vigtig aktør, hvis man omfattes af bilag 2.

Direktivet åbner desuden op for, at man kan være omfattet af direktivet, hvis man for eksempel udpeges som kritisk infrastruktur af Søfartsstyrelsen i regi af CER-direktivet. CER-direktivet gennemføres i Danmark ved en separat lov. Man kan læse om anvendelsesområdet i CER-direktivets artikel 2.

For at en virksomhed skal blive omfattet af reglerne i NIS 2-direktivet, skal en række betingelser være opfyldt. De overordnede betingelser fremgår af direktivets artikel 2, stk. 1, som har følgende ordlyd:

Dette direktiv finder anvendelse på offentlige eller private enheder af den type, der er omhandlet i bilag I eller II, som udgør mellemstore virksomheder i henhold til artikel 2 i bilaget til henstilling 2003/361/EF, eller overskrider tærsklerne for mellemstore virksomheder fastsat i nævnte artikels stk. 1, og som leverer deres tjenester eller udfører deres aktiviteter inden for Unionen.

Artikel 3, stk. 4, i bilaget til nævnte henstilling finder ikke anvendelse, for så vidt angår dette direktiv.

For det første skal der være tale om en enhed af de typer, som er omhandlet i direktivets bilag. Af relevans for søfartsområdet – ud over Vessel Traffic Service (VTS) området – fremgår det af bilag I vedrørende enheder af særlig kritisk betydning, at inden for transportsektoren vil bl.a. følgende organisationer være omfattet:

Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand som defineret for søtransport i bilag I til Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004, bortset fra de enkelte fartøjer, som drives af disse rederier.

Denne afgrænsning er enslydende med afgrænsningen i bilag II til NIS 1-direktivet. Som det fremgår, anvendes begrebet »rederier« (på engelsk: companies) til at beskrive typen af enheder, som vil være omfattet af direktivet på søfartsområdet.

Der er imidlertid ikke tale om den gængse forståelse af rederbegrebet, da der henvises til forordningen om bedre sikring af skibe og havnefaciliteter (ISM). I bilag I til denne forordning, der gengiver SOLAS-konventionens kapitel XI-2 om særlige tiltag til fremme af maritim sikring, fremgår følgende:

1 Medmindre andet udtrykkeligt er bestemt, gælder følgende definitioner ved anvendelsen af dette kapitel:
[…]
.7 »Rederi« betyder et rederi som defineret i kapitel IX, regel 1.

Der peges således videre til SOLAS-konventionens definition som indeholdt i kapitel IX, regel 1. Herved ender man ved den endelige definition, som afgrænser NIS 2-direktivets anvendelsesområde inden for søfarten:

»Rederi«: Ejeren af skibet eller en hvilken som helst anden organisation eller person, som f.eks. operatøren eller bare-boat befragteren, som har overtaget ansvaret for driften af skibet fra ejeren, og som i forbindelse med denne ansvarsovertagelse har erklæret sig indforstået med hensyn til overtagelsen af alle pligter og ansvarsområder, som ISM koden pålægger.

Det betyder, at NIS 2-direktivet alene finder anvendelse på ISM-organisationen, der funktionelt er ansvarlig for overholdelse af ISM-koden.

Når der i bilag II til NIS 2-direktivet gennem flere led henvises til ISM-organisationen (»rederier«), og at de enkelte fartøjer, som drives af disse, undtages fra direktivets anvendelsesområde, medfører dette et meget snævert anvendelsesområde, da det således som udgangspunkt alene vil være den landbaserede del af ISM-organisationen, der vil være omfattet.

Reglerne skelner mellem væsentlige og vigtige enheder. Enhederne skal grundlæggende efterleve de samme krav, men væsentlige enheder pålægges et løbende tilsyn, ligesom de kompetente myndigheders reaktionsmyndigheder over for væsentlige enheder er mere omfattende.

Virksomheden med 250 ansatte eller derover, eller som omsætter over 50 mio. EUR årligt eller har en balance på over 43 mio. EUR, anses for væsentlige enheder, hvis de er omfattet af bilag 1 (transportvirksomheder inden for luftfart, jernbane, vand eller vejtransport).

Virksomheder, som ikke opfylder kriterierne for at være væsentlige enheder, anses som vigtige enheder. Dette gælder ligeledes virksomheder, som er defineret i bilag 2, uanset deres størrelse.

Registreringspligten betyder, at enheder, som falder under direktivets anvendelsesområde, selv er ansvarlige for – og har pligt til – at registrere sig hos den kompetente myndighed. Myndighederne udpeger ikke hvem, som skal efterleve NIS 2. I stedet skal virksomheder selv konstatere, hvorvidt de er omfattet af reglerne.

Virksomhederne skal endvidere selv lade sig registrere som omfattede enheder til den kompetente myndighed, hvilket for rederivirksomheder betyder, at de skal registrere sig hos Søfartsstyrelsen. Det vil i praksis skulle ske gennem en fælles løsning på virk.dk.

Fristen for registrering er efter lovforslaget den 1. oktober 2025.

Hvis virksomheden falder under direktivet, men ikke registrerer sig, kan den kompetente myndighed meddele enheden påbud, indtil enheden registrerer sig og efterlever direktivets krav. På søfartsområdet er det Søfartsstyrelsen, der er den kompetente myndighed.

Procedurer for gennemførelse af fremtidige NIS 2-tilsyn er stadigvæk under afklaring. Der vil dog være forskel på væsentlige og vigtige enheder, når det kommer til tilsyn. Væsentlige enheder vil sandsynligvis skulle underlægges løbende tilsyn, mens vigtige enheder som udgangspunkt kun underlægges tilsyn, når der er konkret anledning til det – hvis der er indikationer på, at enheden ikke efterlever reglerne.

Hvis en virksomhed er omfattet af reglerne, men undlader at efterleve kravene, herunder at registrere sig, kan den kompetente myndighed meddele påbud.

De konkrete rammer for sanktioner fastlægges nærmere i loven og bekendtgørelsen. Direktivet fastlægger blandt andet, at sanktionerne skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Desuden skal sanktionerne følge forvaltningsrettens almindelige regler på området.

Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og Computer Security Incident Response Team (CSIRT) om enhver væsentlig hændelse. En underretning skal indeholde oplysninger, der gør det muligt at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

En hændelse anses for at være væsentlig, hvis hændelsen har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller at den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig fysisk eller ikke-fysisk skade.

Rammes man af en væsentlige hændelse, skal man underrette inden for en bestemt tidsramme efter at have fået kendskab til hændelsen:

Uden unødigt ophold og inden for 24 timer: Indberetning af tidlig varsling, som angiver om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have grænseoverskridende virkning.

Inden for 72 timer: Hændelsesunderretning, som ajourfører de oplysninger, der er blev givet i den tidlige varsling og giver en indledende vurdering af hændelsen, herunder dens alvor og indvirkning samt kompromitteringsindikatorer, hvor sådanne foreligger.

Efter anmodning fra CSIRT eller den kompetente myndighed: En foreløbig rapport om relevante statusopdateringer.

Senest en måned efter hændelsen: En endelig rapport over hændelsen, som indeholder en detaljeret beskrivelse (herunder dens alvor og indvirkning), typen af trussel eller den grundlæggende årsag, der sandsynligvis udløste hændelsen, samt anvendte og igangværende afbødende foranstaltninger og eventuelt grænseoverskridende virkninger af hændelsen.

Pågår hændelsen fortsat en måned efter indberetningen, forelægger enheden i stedet en statusrapport på det pågældende tidspunkt og en endelig rapport senest en måned efter håndteringen af hændelsen.

Det forventes, at væsentlige hændelser fortsat skal indberettes via virk.dk-portalen.

Der vil blive udarbejdet en række vejledninger, som skal understøtte implementeringen. Disse vejledninger forventes at blive offentliggjort på cfcs.dk inden den 1. juli 2025.