Udvidet EU-regulering for beredskab for samfundskritisk infrastruktur

Baggrund

Direktivet har været igennem en længere høringsrunde, men nu er EU-kommissionen og parlamentet blevet enige om hovedindholdet. De nye tiltag i NIS2 kommer blandt andet som konsekvens af en analyse af effekten af det tidligere NIS-direktiv (NIS1) fra 2016. Det forventes, at betydeligt flere virksomheder/organisationer underlægges NIS2 sammenlignet med NIS1.

Direktivets formål

Det nye opdaterede direktiv har det overordnede formål at styrke modenheden af informationssikkerheden på tværs af Europa. Derudover er målet at forbedre beredskabet i EU-medlemslande for de virksomheder/organisationer, både private og offentlige, som leverer og understøtter kritisk infrastruktur. Direktivet indeholder samtidigt krav til EU’s medlemsstater og EU-institutioner på det supranationale niveau. European Network and Information Security Agency (ENISA) får blandt andet til opgave at publicere rammeværk til brug for produkt-, service- eller procescertificeringer. På den måde understøtter reguleringen et større løft af den kritiske infrastruktur både i og på tværs af medlemslandene.

Skærpede krav

Direktivet indeholder betydelige skærpelser af tidligere sikkerheds- og beredskabskrav. Reguleringen opsætter blandt andet udvidede krav indenfor informations- og cybersikkerhed, såsom:

1. Ledelsens inddragelse i beslutningstagen
   
2. Krav til oplysning og træning om informationssikkerhed
3. Krav til leverandørstyring
4. Krav til risikostyring, håndtering og rapportering
5. Krav til håndtering af sikkerhedshændelser samt rapportering til relevante myndigheder
6. Deling af sikkerheds- og trusselsinformation med relevante myndigheder
7. Myndigheders muligheder for sanktioner, påbud og bødeforlæg
8. Krav til forretningskontinuitet og krisehåndtering

Derudover indeholder direktivet krav om tiltag i forhold til deling af sikkerheds- og trusselsinformation. Myndighederne i de enkelte medlemslandes skal sikre en struktur, der kan supportere deling af trusselsinformationer i og mellem relevante sektorer. Deling af disse informationer anses nemlig som en central del af modstandsdygtigheden på tværs af sektorer.

Direktivets dækningsområde

Det forventes, at betydeligt flere virksomheder/organisationer underlægges NIS2 sammenlignet med NIS1. Det skyldes blandt andet: 

• Reguleringen indeholder en udvidelse af antallet af sektorer samt en udvidelse af dækningsområdet for hver af de navngivne sektorer
• Som udgangspunkt afgrænses direktivets dækningsområde af en size-cap rule. Som princip skal alle store og mellemstore enheder, som leverer sandfundskritisk infrastruktur i hvert medlemsland, derfor være dækket af reguleringen.
• Myndigheder skal derudover udvælge kritiske enheder, som vurderes til at have særlig betydning for det nationale beredskab og udpege enheder, der understøtter samfundskritisk infrastruktur.

Virksomheder/organisationer med under 50 ansatte og en omsætning på mindre end 10 millioner euro i årlig global omsætning forventes ikke at være underlagt det nye direktiv.

Betydning af NIS2 for virksomheden/organisationen

På en lang række områder vil NIS2 sætte nye krav til enheder, som ikke tidligere har været omfattet af NIS1 og kræve yderligere tekniske og organisatoriske tiltag. Reguleringen vil også stille krav til leverandører af vigtige samfundskritiske services, som ikke tidligere har været underlagt NIS1 eller tilsvarende regulering. Reguleringen vil derfor ikke kun berøre de sektorer, som er nævnt eksplicit i direktivteksten, men forventes også at få indflydelse på leverandører til virksomheder/organisationer, der leverer eller understøtter samfundskritisk infrastruktur. 

Der er dertil fokus på ledelsens aktive rolle i forskellige aktiviteter, såsom godkendelse af risikostyringsstrategien, IT-politikken og overordnet sikkerhedstiltag. I henhold til det nye direktiv kan manglende overholdelse give bøder på op mod 10 mio. euro eller 2% af den globale årlige omsætning. 

Tidsfrister
Som led i direktivets formelle godkendelse følger en 21 måneders implementeringsfrist. Derefter forventes det, at private og offentlige virksomheder/organisationer, som er dækket af reguleringen, har imødekommet direktivets krav. Direktivet forventes derfor at være fuldt ud gældende og effektueret primo 2024. 

Vores anbefaling
Vi anbefaler, at I allerede nu igangsætter en afdækning af, hvilken relevans NIS2 vil have for netop jeres virksomhed eller organisation. Design, planlægning, implementering og drift af reguleringens tiltag for tekniske og organisatoriske foranstaltninger kan tage tid og kræver inddragelse af jeres virksomheds/organisations fagområder og ressourcer. 

Det har betydelige fordele at være på forkant i forhold til planlægning og igangsætning af de eventuelle initiativer, så I sikrer, at I har allokeret den rette mængde ressourcer til bl.a. sikkerhed og risikostyring.

Hvad kan Deloitte hjælpe med?
Deloitte tilbyder vejledning og assistance i forhold til arbejdet med NIS2-reguleringen. Det drejer sig mere konkret om: 

• En klarlægning af, hvorvidt jeres virksomhed/organisation er underlagt NIS2-direktivet
• En indledende afdækning af NIS2-reguleringens betydning for virksomheden/organisationen
• En struktureret og rettidig proces, der øger effektiviteten af anvendte ressourcer og mindsker den generelle indvirkning på den daglige drift og planlægning
• Et roadmap for en proces, der sikrer inddragelse af virksomhedens/organisationens relevante interessenter

Ovenstående trin sikrer, at arbejdet med de tekniske og organisatoriske foranstaltninger tilrettelægges på en hensigtsmæssig og struktureret måde, og at de fulde implikationer afdækkes. 

Derudover kan Deloitte hjælpe med implementering af eventuelle tekniske og organisatoriske foranstaltninger. Her kan Deloittes specialister blandt andet besvare centrale spørgsmål som:

• Hvis vi er underlagt NIS2-direktivet, i hvilken grad vil vi så blive påvirket?
• Er vores nuværende modenhed tilstrækkelig?
• Hvilke tekniske og organisatoriske foranstaltninger er nødvendige at implementere forud for arbejdet med NIS2-direktivet?
• Hvordan implementerer vi de nødvendige foranstaltninger mest hensigtsmæssigt?