Af Eskil Sørensen, 12/07/24
Så er NIS2-lovforslaget kommet i høring. Det blev annonceret fredag i sidste uge.
På det overordnede plan er det værd at bemærke, at ikrafttrædelsesdatoen for loven er sat til den 1. marts 2025, altså senere end den først annoncerede forsinkelse den 1. januar.
Forslaget opstiller to lister med de sektorer, der er omfattet af loven. Den ene liste indholder "sektorer af særlig kritisk betydninger" og omfatter energi, transport, bankvirksomhed, finansielle markedsinfrastrukturer, sundhed, drikkevand, spildevand, digital infrastruktur, forvaltning af IKT-tjenester (business-to-business), offentlig forvaltning og rummet.
Den anden liste indeholder ”Andre kritiske sektorer”. Disse er post- og kurertjenester, affaldshåndtering, fremstilling produktion og distribution af hhv. kemikalier og fødevarer, fremstilling af andre produkter som medicinsk udstyr, computere mv.m, elektrisk udstyr, maskiner, motorkøretøjer og andre transportmidler mv. Derudover er der "digitale udbydere" og "forskning". Med forskning forstås "forskningsorganisation", der defineres som ”..en enhed, hvis primære mål er at udføre anvendt forskning eller udvikling med henblik på at udnytte resultaterne af denne forskning til kommercielle formål. Indbefatter ikke uddannelsesinstitutioner.”
Til dette tilføjes i bemærkninger i lovudkastet: ”For så vidt angår uddannelsesinstitutioner forventes det primært at være aktuelt at sætte reglerne i kraft for universiteter omfattet af universitetsloven, jf. lovbekendtgørelse nr. 778 af 7. august 2019. Det kan dog ikke udelukkes, at loven også vil blive sat i kraft for andre videregående uddannelsesinstitutioner i det omfang, disse vurderes at udføre kritiske forskningsaktiviteter.”
Digert værk
Lovforslaget er et digert værk på 325 sider. Har man mod på at dykke ned i det, kan man fx i kapitel 1 se de kriterier, der gør, at en virksomhed omfattet af loven. Kapitel 1 indeholder også en forklarende liste over de begreber og elementer, der anvendes i lovforslaget.
Her defineres fx. en cybertrussel som værende ”.. enhver potentiel omstændighed, begivenhed eller handling, som kan skade, forstyrre eller på anden måde have en negativ indvirkning på net- og informationssystemer, brugerne af sådanne systemer og andre personer.” En hændelse defineres som ”En begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af de tjenester, der tilbydes af eller er tilgængelige via net- og informationssystemer, i fare”.
Kapitel 2, 3 og 4 indeholder en liste over forpligtelser, som de omfattede virksomheder har, mens kapitel 6 og 9 beskriver hvilket tilsyn og hvilke sanktioner de omfattede enheder kan forvente.
Har man ikke mod på at bruge sommerperioden på NIS2, kan det anbefales at konsultere opslag på sociale medier fra de mange eksperter, der har fulgt forhandlings- og lovgivningsprocessen i de sidste år. Eller tilmelde sig mange af de webinarer og arrangementer, der tilbydes efter sommeren.
DKCERT er høringspart
Lovforslaget omtales som en minimumsimplementering af NIS2-direktivet, hvilket indebærer, at der ikke indføres dansk regulering, der går ud over direktivets krav. Center for cybersikkerhed skriver på sin hjemmeside, at "implementeringen sker ved, at Forsvarsministeriet fremsætter en hovedlov, som skaber en fælles grundlæggende ramme for implementeringen af NIS2 på tværs af sektorer. Hovedloven vil bemyndige ressortministerierne (de sektoransvarlige myndigheder) til at konkretisere NIS2-kravene i bekendtgørelser."
DKCERT indgår på den høringsliste, som Forsvarsministeriet har offentliggjort i forbindelse med høringen om lovforslaget. Inden for uddannelses- og forskningsektoren er også DeiC, Danske Universiteter, NORDUnet A/S og IT-universitetet også blandt høringspartnerne. DKCERT koordinerer et høringssvar i samarbejde med CISO’erne på de otte danske universiteter og DeiC.
Lovforslaget, høringsliste og høringsbrev er offentliggjort på høringsportalen.