Af Eskil Sørensen, 08/02/24
Arbejdet med at implementere EU’s direktiver om cybersikkerhed (NIS 2-direktivet) og modstandsdygtighed (CER-direktivet) i dansk lovgivning er forsinket.
Det skriver Forsvarsministeriet på sin hjemmeside.
Ifølge lovprogrammet skulle lovforslagene være fremsat i løbet af første kvartal i år, men det bliver så udskudt til oktober, altså i næste folketingssamling. Det fremgår, at lovforslagene forventes færdigbehandlet i Folketinget i slutningen af 2024, hvorfor fristen for, hvornår erhvervsliv og myndigheder skal følge de nye EU-regler, tilsvarende udskydes.
Med dette udestår også en endelig afklaring af, hvem der er omfattet af NIS2.
I mellemtiden kan man kaste sig over et rigtigt godt vejledningsunivers, som IT-Branchen har udarbejdet. Det er lavet for at hjælpe de virksomheder, der bliver direkte omfattet af NIS2 og de leverandører, der bliver indirekte omfattet qua direktivets skærpede krav til cybersikkerheden i samfundskritiske leverandør- og forsyningskæder.
Ikke omfattet direkte, men indirekte
Det er endnu uklart, om universiteterne bliver direkte omfattet af direktivets krav. I sidste års trendrapport skrev security advisor Morten Eeg Ejrnæs Nielsen, at det er op til medlemsstaterne selv at fastsætte, om uddannelsesinstitutioner er direkte omfattet. Men selv om uddannelsesinstitutionerne kun måtte blive indirekte omfattet, så er det stadig vigtigt for universiteterne at forholde sig til direktivet. Det skyldes, at universiteterne godt kan have tjenester, der falder inden for direktivets anvendelsesområde, fx. datatjenester.
Formålet med NIS 2-direktivet er at skabe et højere og mere ensartet cybersikkerhedsniveau på tværs af EU’s medlemsstater, mens formålet med CER-direktivet er at styrke kritiske virksomheders og myndigheders modstandsdygtighed.
Links:
https://www.fmn.dk/da/nyheder/2024/nye-regler-om-cybersikkerhed-bliver-f...