NIS2 trådte i kraft i januar 2023. Derefter havde Danmark og andre EU-lande indtil den 18. oktober 2024 at implementere direktivet i nationale love. Men det var ikke alle EU-medlemstater, der nåede det inden deadline.
Heriblandt Danmark. Som det ser ud lige nu, forventer vi, at den danske NIS2-lov træder i kraft fra den 1. juli 2025.
Vi kender derfor ikke de danske krav endnu, men den europæiske lovramme giver alligevel nogle pejlemærker. Der er fx flere organisationer, som skal overholde NIS2 sammenlignet med NIS-loven, og vi forventer bl.a. krav om at sikre:
- Politikker for risikoanalyse og informationssystemsikkerhed
- Håndtering af hændelser
- Driftskontinuitet og krisestyring
- Forsyningskædesikkerhed
- Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger
- Grundlæggende praksisser for cyberhygiejne og cybersikkerhedsuddannelse
- Politikker og procedurer ved brug af kryptografi og kryptering
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
- Multifaktor eller kontinuerlig autentificering, herunder leverandørstyring/-sikkerhed" ud for forsyningskædesikkerhed
Analyser peger på, at budgettet til cybersikkerhed gennemsnitligt skal udvides med 12-22% i løbet af 3-4 år for at overholde NIS2, men at det samlet set vil medføre store besparelser, fordi antallet og omfanget af it-hændelser nedbringes.
NIS2 indeholder en maksimal bøderamme på 10 mio. EUR eller 2% af den globale koncernomsætning, selvom den faktiske bødeudmåling kan afhænge af lokal domstolspraksis.

Omfattet af NIS2 eller ej?
Brug vores NIS2-beslutningstræ for at finde ud af, om du er omfattet eller ej.
Få dit eksemplar her