Hvad betyder NIS2-direktivets regler om cyber- og informationssikkerhed for kommunerne?

Opdateret 20.09.2023

HVAD ER NIS2? - NYE INFORMATIONS- OG CYBERSIKKERHEDSREGLER PÅ VEJ

NIS2-direktivet, der er EU Kommissionens seneste retsakt på informations- og cybersikkerhedsområdet, blev vedtaget i december 2022 og reglerne finder anvendelse fra den 18.oktober 2024. NIS2-direktivet er en modernisering af NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUR-Lex - 32016L1148 - DA - EUR-Lex (europa.eu))).

NIS2 omfatter organisationer (enheder) i sektorer, der som udgangspunkt vurderes at være væsentlige eller vigtige for samfundet, herunder inden for energi, transport, sundhed, drikkevand, spildevand, affaldshåndtering og offentlig administration.

Et spørgsmål som endnu står ubesvaret, er om kommuner vil blive omfattet af direktivet gennem den danske implementeringslovgivning. Ifølge NIS2-direktivet er det nemlig medlemsstaterne, der skal beslutte, om ”lokale” myndigheder er omfattet af NIS2-direktivet, mens regionale og centrale myndigheder er direkte omfattet af NIS2. Regeringen og Kommunernes Landsforening blev, i forbindelse med aftalen om kommunernes økonomi for 2024, enige om at drøfte implementeringen af NIS2 i Danmark, herunder hvorvidt kommunerne skal være omfattet.*

Selvom kommunerne må vente på afklaring, lidt endnu, kan kommunerne med fordel være opmærksomme på reglerne og den danske implementering. Kommunerne kan nemlig også blive omfattet af NIS2-direktivet via de opgaver, som varetages af kommunen eller kommunale selskaber, fx sundhedspleje, affaldshåndtering, drikkevandsforsyning, spildevandshåndtering og fjernvarmeforsyning.

*https://fm.dk/media/27133/aftale-om-kommunernes-oekonomi-for-2024.pdf

Få overblik over nis2-kravene

NIS2 stiller krav om:

• Risikobaseret sikkerhed
• Minimumsforanstaltninger
• Dokumentation af indsatsen
• Underretning ved hændelser
• Ledelsens ansvar og tilsynet med organisationen

Til trods for den lidt uklare rækkevidde af NIS2, så er Regeringen og Kommunernes Landsforening enige om, at et tidssvarende cybersikkerhedsniveau er nødvendigt for at sikre alle led i den offentlige sektor. Der er således en række aktiviteter, som kan iværksættes, inden implementeringslovgivningen er på plads.

Der kan eksempelvis allerede nu udarbejdes et overblik over organisationens informationsaktiver og forretningsprocesser. I den forbindelse kan organisationen danne sig et overblik over hvilke systemer og data, der er mest kritiske i forhold til de aktiviteter, som vil medføre, at organisationen bliver omfattet af NIS2. Overblik over hvilke oplysninger organisationen har og er afhængig af understøtter, at der kan risikovurderes og implementeres sikkerhedsforanstaltninger, som har et passende niveau - hvilket er et krav, blandt andet efter NIS2.  

Der altså ikke noget til hinder for, at organisationer anlægger en risikobaseret tilgang til arbejdet med informations- og cybersikkerhed. Selvom man som organisation ikke nødvendigvis mødes af lovkrav – endnu – så kan man blive mødt at lignende krav fra kunder og leverandører, der skal leve op til lovkravene, og har identificeret jeres organisation, som et kritisk element i forsyningskæden.