Det nye NIS2-direktiv har til formål at sikre et højt cybersikkerhedsniveau på tværs af specifikke brancher i unionen. Forsvarsministeriet har netop sendt lovudkast til Danmarks implementering af NIS2-direktivet i offentlig høring. Lovudkastet kan findes på Høringsportalen (link) med frist for svar den 22. august.
Som allerede bebudet af Forsvarsministeren viser lovudkastet en direktivnær implementering. Vi har i det følgende samlet vores umiddelbare observationer fra lovudkastet, som indeholder et par interessante afklaringer.
Først og fremmest viser lovudkastet, at man forventer yderligere forsinkelse af implementeringen. Loven er nemlig sat til at træde i kraft den 1. marts 2025, hvor vi forventer, at alle krav vil gælde fra uden en formel ”grace period” for håndhævelse.
Hertil kommer, at de konkrete krav til virksomhedernes cybersikkerhed skal præciseres af de relevante myndigheder indenfor hvert ressortområde. Lovudkastet indeholder alene en kopi af de konkrete krav NIS2-direktivets artikel 21 uden yderligere uddybning. Kravene vil blive i praksis blive udlagt i individuelle bekendtgørelser efter forhandling med Forsvarsministeren. Hvorvidt disse bekendtgørelser vil foreligge ved lovens foreslåede ikrafttrædelse den 1. marts 2025, og derfor kan håndhæves fra denne dato, er endnu uvist, men er noget, som vi vil følge tæt gennem efteråret.
Lovudkastet viser, at loven vil gælde i udgangspunktet for de brancher, som vi allerede kender fra NIS2-direktivets bilag 1 og 2. Via implementeringen har man fra dansk side dog udlagt energisektoren til sin egen hovedlov. Derudover er enheder omfattet af lov om cybersikkerhed i telesektoren samt fælles datacentraler, som reguleres i lov om finansiel virksomhed, ligeledes undtaget.
I tråd med andre EU-lande lægger udkastet op til, at omfattede virksomheder skal selvregistrere. Registreringen skal ske hos den relevante kompetente myndighed senest den 17. januar 2025, og altså tidligere end loven foreslås at træde i kraft.
Virksomheder, som senere viser sig at blive af loven, skal registrere sig senest to uger efter, at man bliver omfattet af loven. Virksomheder, som forventer at udvide sine forretningsområder, eller som ligger lige under grænseværdier, skal derfor være opmærksomme på, hvornår de konkret bliver omfattet af loven for ikke at misse en registreringsfrist.
Center for Cybersikkerhed bliver den overordnede danske tilsynsmyndighed (CSIRT). Med lovforslaget lægges dog op til, at der ikke kan pålægges dobbelte bøder for overtrædelse af loven eller dens bekendtgørelser og GDPR eller databeskyttelsesloven. Det er dog en forudsætning, at overtrædelserne af henholdsvis loven og GDPR skyldes den samme adfærd. Det bliver derfor spændende at følge samarbejdet mellem Center for Cybersikkerhed, de enkelte kompetente ressortmyndigheder og Datatilsynet fremover.
Hertil kommer, at der heller ikke med loven kan pålægges administrative bøder, men at bødeforlæg skal gå via Anklagemyndigheden.