Alle forretningsområder
Specialiseret rådgivning
IT-sikkerhed
23. august 2024
Arbejder du med IT, cybersikkerhed og/eller digital regulering, har du nok hørt om NIS2-direktivet. Måske er du endda også godt opdateret på seneste udvikling i forhold til implementering i dansk ret. Det kan dog være svært at bevare overblikket. Derfor giver vi her en kort opsamling.
NIS2-direktivet er, som navnet antyder, en opdatering af det nugældende NIS-direktiv fra 2016. Formålet med NIS-direktivet er at fastsætte nogle overordnede krav til sikkerheden i de net- og informationssystemer, som benyttes af udvalgte organisationer (enheder) og sektorer, der er kritiske for den nationale infrastruktur og forsyning, f.eks. energisektoren, finanssektoren, telesektoren, sundhedssektoren, mv.
Det nye NIS2-direktiv medfører bl.a. følgende ændringer sammenholdt med de gældende regler:
At der er tale om et “direktiv” betyder, at reglerne først er gældende, når de er blevet implementeret i de enkelte medlemslandes lovgivning (modsat en “forordning”, f.eks. GDPR, som er umiddelbart gældende og har samme tekst i alle medlemslande).
NIS2-direktivet vil stille konkrete krav til sikkerheden, bl.a. krav til ledelsesforankring, governance, udarbejdelse af sikkerhedspolitikker, håndtering af sikkerheden i forsyningskæden, grundlæggende cyberhygiejne, mfl.:
Oversigt over sikkerhedskravene i NIS2
NIS2-direktivet lægger også op til, at organisationer, som ikke overholder sikkerhedskravene, kan få pålagt bøder på op til € 10 mio. eller 2% af den samlede globale omsætning. Herudover kan ledelsen i organisationen midlertidig få suspenderet rettighederne til at udøve ledelsesfunktioner, indtil der er rettet op på overtrædelsen.
I Danmark vil det være Center for Cybersikkerhed, der har den overordnede og koordinerende rolle med at føre tilsyn og håndhævelse af NIS2-direktivet. Dog vil der være nogle sektorer, f.eks. energisektoren og finanssektoren, der vil være underlagt deres eget sektortilsyn.
For mere viden om direktivet og dets baggrund, se evt. EU-Kommissionens FAQ.
På trods af den lidt sene opstart, er der nu for alvor kommet gang i det danske lovarbejde i forhold til implementeringen af NIS2-direktivet, samt søsterdirektivet, CER-direktivet, i dansk ret.
Først og fremmest har finanssektoren allerede implementeret NIS2 og den særskilte sektorregulering, DORA, i dansk ret. Loven stiller specifikke krav til cybersikkerhed, trusselsbaseret penetrationstest, styring af cyberrisici, mv. Loven trådte i kraft den 1. juli 2024.
Energistyrelsen har den 12. juni 2024 sendt et lovforslag i høring om styrket beredskab i energisektoren, hvor der bl.a. implementeres krav fra NIS2 og CER. Lovforslaget forventes at træde i kraft den 1. januar 2025. Udover lovforslaget har Energistyrelsen også udtalt, at de forventer at sende tre udmøntende bekendtgørelser vedrørende regler om personelsikkerhed, gebyrer og beredskabskrav i høring i september 2024.
Telesektoren vil også få sin egen, særskilte lov for implementering af NIS2 og CER, men der er på nuværende tidspunkt ikke offentliggjort et lovforslag herom.
Endelig har Forsvarsministeriet den 5. juli 2024 sendt et lovforslag i høring om implementering af NIS2 for de øvrige sektorer. Lovforslaget vil fungere som den generelle ”hovedlov” for NIS2 i dansk lovgivning. Lovforslaget lægger sig meget op ad lovteksten i NIS2-direktivet i forhold til sikkerhedskrav og rapporteringsforpligtelser. Det forventes derfor, at yderligere fortolkning og konkretiseringen af sikkerhedskravene sker via bekendtgørelser udarbejdet af de relevante sektortilsyn, f.eks. Digitaliseringsstyrelsen og Center for Cybersikkerhed. Lovforslaget forventes først at træde i kraft den 1. marts 2025, dvs. snart 4½ måneder efter NIS2 skal være fuldt implementeret i dansk ret.
De fremsatte lovforslag lægger således også op til, at det såkaldte ”sektoransvarsprincip” videreføres i dansk ret med NIS2. Det vil sige, at visse omfattede sektorer, f.eks. finanssektoren, energisektoren, telesektoren, mv., vil have sin egen tilsynsmyndighed, der kan udstede supplerende bekendtgørelser og foretage tilsyn med overholdelsen af loven.
Fælles for alle lovene er, at Center for Cybersikkerhed vil have den koordinerende rolle for alle de øvrige sektortilsyn i forbindelse med håndtering af bl.a. større sikkerhedshændelser, og udarbejdelse af relevante vejledninger og retningslinjer til fortolkning og implementering af cybersikkerhedsreglerne.
For at overholde NIS2 skal omfattede enheder bl.a. føre kontrol med sin forsyningskæde. Til det formål har FSR – danske revisorer den 6. juni 2024 lanceret en ny revisionserklæring for NIS2 i relation til leverandører eller tjenesteudbydere.
Revisionserklæringen er udarbejdet med henblik på at den enkelte organisation, som er omfattet af NIS2-reguleringen, kan overvåge dens direkte leverandører eller tjenesteudbydere ved at opstille et fælles udgangspunkt for kontrollen. NIS2-revisionserklæringen er baseret på den velkendte ISAE 3000-erklæring med begrænset sikkerhed.
FSR – danske revisorer udtaler bl.a. i den sammenhæng, at en revisionserklæring med begrænset sikkerhed ”samlet set giver […] en balance mellem behov for overbevisning og omkostningseffektivitet. Denne balance kan med tiden ændre sig, og når der er indhentet erfaring med kontrolaktiviteter og revisionshandlinger på alle de relevante områder, vil disse også kunne gennemføres mere effektivt. Det må også forventes, at der med tiden vil opstå konsensus om, hvor omfattende opfølgningen på forsyningskæden skal være, så handlingerne kan tilpasses mere præcist. Til den tid vil det eventuelt være relevant at udarbejde erklæringer med høj grad af sikkerhed, hvis der er efterspørgsel efter sådanne.”
NIS2’s krav til cybersikkerhed er, på godt og ondt, bredt formuleret, og efterlader en hel del rum for fortolkning. Direktivet givet dog også mulighed for, at der kan fastsættes mere konkrete krav, jf. NIS2 art. 21(5) og 23(11).
Den 27. juni 2024 offentliggjorde Kommissionen således et udkast til ”Delegeret retsakt” indeholdende ”technical and the methodological requirements of the cybersecurity risk-management measures for some entities in the digital infrastructures, digital providers, and ICT service management (business-to-business) sectors.”
Den delegerede retsakt er stadig i udkast, og høringsperioden blev afsluttet den 25. juli 2024. Hvis du vil læse mere, kan samtlige høringssvar tilgås her.
Selvom retsakten formelt kun vil forpligte visse typer af IT-leverandører (f.eks. cloudcomputingtjenester, datacentertjenesteudbydere og udbydere af administrerede sikkerhedstjenester), så er der værdifulde fortolkningsbidrag at hente for andre typer af organisationer. Det skyldes også, at retsaktens bilag indeholder en konkretisering af NIS2’s sikkerhedskrav baseret på internationale standarder, såsom ISO 27001.
Da udkastet består af 16 siders forordning og 27 siders bilag, og en stor del af kravene også har en begrænset relevans for andre end de formelt omfattede IT-leverandører, giver vi kun en kort redegørelse for de konkretiseringer, som formentlig vil kunne overføres bredt til andre omfattede sektorer:
Selvom det er NIS2, der løber med meget af opmærksomheden, så er det reelt blot én brik i et meget stort cybersikkerhedspuslespil, som EU er i gang med at lægge i disse år.
Det rækker for vidt at redegøre for de mange andre regelsæt såsom DORA, CER og lignende, men for de interesserede, så har Kommissionen lavet et samlet overblik over strategier, politikker og regulering på cybersikkerhedsområdet.
Vi vil derfor nøjes med at fremhæve de mest relevante tiltag, nemlig:
1. “Cybersikkerhed” = Et grundkrav i produkter og tjenester, som sælges på det europæiske marked
EU har revideret de generelle krav til produktsikkerhed i EU i form af produktsikkerheds-forordningen (GPSR): Ny forordning om produktsikkerhed skal anvendes fra 2024.
Af særlig relevans kan fremhæves følgende nye grundkrav i artikel 6 samt præambel 25 og 26:
”g) når produktets art kræver det, de passende egenskaber hvad angår cybersikkerhed, som er nødvendige for at beskytte produktet mod påvirkninger udefra, herunder ondsindede tredjemænd, hvis en sådan påvirkning kan have indflydelse på produktets sikkerhed, herunder et muligt tab af indbyrdes sammenhæng”.
Selvom GPSR kun gælder for forbrugerprodukter, så er den blot ét eksempel på et generelt paradigmeskifte i EU’s måde at stille krav til sikkerhed i produkter på. Vi har således de senere år set sektor-/produktspecifikke krav til cybersikkerhed på en række områder, herunder betalingstjenester, radioudstyr, medicinsk udstyr og kunstig intelligens.
Dermed kan man sige, at ”Security-by-Design” allerede er på vej til at blive normen, om end de formelle krav il dokumentation bliver markant skærpet, når Cyber Resilience Act træder i kraft, jf. næste afsnit.
2. Cyber Resilience Act (CRA)
Den 12. marts 2024 blev Cyber Resilience Act vedtaget af EU-parlamentet. Regelsættet stiller en række cybersikkerhedskrav til produkter med digitale elementer – hvilket omfatter både hardware og software – herunder smart home produkter, IoT, robotter, ”stand alone”-software mv. Regelsættet er baseret på princippet om ”Security-by-design”, hvorefter sikkerheden af produkterne skal indtænkes allerede i udviklingsfasen. I den forbindelse operer regelsættet med risikoklasser, hvorefter der vil gælde forskellige krav alt efter de konkrete produkter eller løsninger.
Regelsættet stiller bl.a. krav til understøttelse af produkterne i deres levetid, udarbejdelse af forskellige typer af overensstemmelsesvurderinger samt indrapportering af udnyttede sårbarheder. Regelsættet vil omfatte bl.a. producenter og udviklere, men også distributører og importører af produkter med digitale elementer. Forordningen har potentialet til at blive et af de vigtigste regelsæt i de kommende år, da den vil stille krav til cybersikkerhed i en bred vifte af produkter. Den endelige tekst at af forordningen forventes offentliggjort i løbet af 2024. Læs mere her.
3. EU’s nye certificeringer af cybersikkerhed i produkter og tjenester
I starten af 2024 vedtog EU Kommissionen den første certificeringsordning af IKT-produkter med udgangspunkt i Cyber Security Act. En af årsagerne hertil er, at der anvendes en række af forskellige cybersikkerhedscertificeringer i EU. Der opstod derfor en reel risiko for fragmentering og forskelligartet praksis for brug af certificering i medlemsstaterne:
“Our digital lives can only work well if there is general public trust in the cybersecurity of IT products and services. It is important that we can see that a product has been checked and certified to conform to high cybersecurity standards. There are currently various security certification schemes for IT products around the EU. Having a single common scheme for certification would be easier and clearer for everyone
The Commission is therefore working on an EU-wide certification framework, with ENISA at its heart. The Cybersecurity Act outlines the process for achieving this framework.”
Den vedtagne ramme, ’European Common Criteria-based cybersecurity certification scheme’ eller blot ’EUCC’, bygger videre på de anerkendte men 30 år gamle ’Common Criteria’. Denne frivillige certificeringsordning giver muligheden for en certificering af række produkter og løsninger i deres levetid, herunder databaser, routere, biometriske systemer, switches, med videre.
EUCC er dog blot et element i et større billede. Dette kom bl.a. til udtryk i ’Union Rolling Work Programme for European cybersecurity certification’ eller ’URWP’, der blev publiceret i februar 2024 som led i gennemførslen af Cyber Security Act.
I URWP fremhæves det bl.a. hvordan EUCC og lignende certficeringsordninger, skal spille sammen med en række retsakter inden for cybersikkerhedsområdet. Herunder hvordan cybersikkerhedscertificering i EUCC, vil supplere Cyber Resilience Act og European Digital Identity Regulation.
Udover EUCC, er EU i gang med at udarbejde en ’EU Cloud Certification Scheme’ og ’5G Cybersecurity Certification Scheme’. Som fremhævet i URWP, er det hertil sandsynligt at EU Kommissionen inden for de kommende år vil udvikle flere certificeringsordninger, herunder en for ’managed security services’.
Læs mere om EU’s certificeringsordninger her. The EU cybersecurity certification framework | Shaping Europe’s digital future (europa.eu).
4. Cyber Solidarity Act (CSA)
Den 24. april 2024 kunne Europa-Parlamentet meddele, at Cyber Solidarity Act (CSA) trådte i kraft. Regelsættet har til formål at sikre en koordineret indsats for håndtering af cybersikkerhedsrisici og hændelser. Det indebærer oprettelsen af et europæisk cyberskjold og cyberberedskabsmekanisme, samt dertilhørende forvaltnings- og koordineringsmekanismer. Slutmålet er at sikre et højere niveau af cybersikkerhed, vidensudveksling om cybersikkerhedsrisici samt passende organisatoriske tiltag. Læs mere her.
Artiklen er skrevet af advokat, ph.d. Jesper Løffler Nielsen i samarbejde med advokat Jesper Krag og cand. jur., specialist i Compliance Jakub Skórczynski.
Har du spørgsmål til artiklens indhold, eller søger du rådgivning om NIS2-direktivet og anden teknologiret, er du velkommen til at rette henvendelse til vores eksperter inden for IT og teknologiret.
Se parkeringsforhold lige her
© Copyright 2024 • Focus Advokater • CVR: 34045666