Nye vejledninger om anvendelsesområdet og ledelsens rolle under NIS 2-loven
Styrelsen for Samfundssikkerhed udgiver nu de to første vejledninger til NIS 2-loven om henholdsvis lovens anvendelsesområde og ledelsens rolle.
Cybersikkerheden og modstandsdygtigheden over for cybertrusler på tværs af EU skal styrkes og ensartes. De kommende regler stiller nye krav til både offentlige myndigheder og virksomheder, som anses for at være kritiske for samfundet.
Styrelsen for Samfundssikkerhed (SAMSIK) udgiver nu de to første vejledninger til NIS 2, der beskriver de tværgående begreber og krav i NIS 2-loven.
Den første vejledning omhandler anvendelsesområdet. Det vil sige, hvem loven omfatter. Vejledningen skal således hjælpe virksomheder og myndigheder med at vurdere, om de kan forvente at blive omfattet af den kommende NIS 2-lov. Vejledningen supplerer det NIS2-værktøj, som Styrelsen for Samfundssikkerhed i forvejen har udgivet med samme formål.
Den anden vejledning beskriver ledelsens rolle og opgaver. Det omfatter blandt andet styring af risici og krav til uddannelse. Med vejledningen ønsker SAMSIK at gøre rollerne og opgaverne mere tydelige over for bestyrelses- og direktionsmedlemmerne i de virksomheder og offentlige myndigheder, som er omfattet af NIS 2-loven.
Om NIS 2
En væsentlig forskel mellem NIS 1 og NIS 2 er, at i det første direktiv havde myndighederne i de enkelte medlemslande ansvaret for at udpege, hvilke virksomheder og myndigheder som var omfattet af direktivet. Med NIS 2-direktivet er en række sektorer defineret som samfundskritiske, og fremover er det således virksomhederne og myndighederne i de udvalgte sektorer, som bærer ansvaret for at vurdere, hvorvidt de er omfattet af NIS 2-loven og registrere sig som en omfattet enhed.
Vejledningerne er del af en række af generelle og tværgående vejledninger, der skal uddybe centrale krav og begreber i NIS 2-loven. De tværgående vejledninger kan suppleres af mere sektorspecifik vejledning ved den relevante sektoransvarlige myndighed. NIS 2-loven træder i kraft den 1. juli 2025. De omfattede enheder skal registrere sig senest den 1. oktober 2025.
NIS 2-direktivet gennemføres ved særskilt lovgivning for henholdsvis tele-, energi- og finanssektorerne. Der kan derfor være særlige krav til ledelsen i de nævnte sektorer, som ikke dækkes af disse vejledninger.