Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Det er dejligt, at vi endelig har fået NIS2-hovedloven sendt til behandling i Folketinget.
Det gør både, at vi alle sammen har noget mere konkret at forholde os til, og at vi har fået syn for sagerne i forhold til, hvilke ændringer høringerne og ressortomlægningen har bidraget til.
Det er nok ikke en overraskelse for ret mange, at den foreslåede hovedlov ikke bliver mere konkret i forhold til, hvilke krav de omfattede organisationer rent faktisk skal efterleve.
Den del kommer først i bekendtgørelser og vejledninger.
Et godt eksempel er NIS2/CER-bekendtgørelsen på energiområdet, som blev sendt i høring kort før jul. Her er en del af kravene til de omfattede virksomheder mere tydeligt defineret sammenlignet med den foreslåede hovedlov.
I den foreslåede hovedlov ser vi generelt de samme 10 overordnede minimumskrav, som vi kender fra direktivet og det første lovforslag.
Når det er sagt, så er der enkelte afgørende justeringer, hvor der rent faktisk er noget nyt under solen, og nogle af dem vil vi gennemgå her.
Placering af den centrale CSIRT
Et lidt mindre, men stadig interessant element, er, at det nu er tydeligt, at den centrale danske CSIRT (Computer Security Incident Response Team) kommer til at ligge hos Netsikkerhedstjenesten.
I det tidligere lovforslag var det Center for Cybersikkerhed (CFCS), der skulle varetage rollen som CSIRT, men da CFCS rykkede over til Ministeriet for Samfundssikkerhed og Beredskab (MSSB), rykkede Netsikkerhedstjenesten ikke med, og opgaven ligger dermed fortsat hos Forsvarsministeriet.
Væsentlige hændelser
Et andet mindre element er, at loven lægger op til, at det er hver sektoransvarlig myndighed, som skal definere grænserne for, hvornår en hændelse anses som væsentlig, og der derfor er krav om rapportering.
Dette er utvivlsomt en god idé, da der vil være store forskelle sektorer imellem. Det kræver dog, at vi får definitionerne i god tid, og fpr eksempel ikke først i ugen op til deadline for implementeringen som er 1. juli 2025.
Frist for selvregistrering
Som forventet skal omfattede enheder selv sørge for at blive registreret hos den relevante kompetente myndighed med en række specifikke oplysninger.
Dog er det værd at bemærke at der i den foreslåede hovedlov er angivet en konkret tidsfrist og at den er ret kort, nemlig senest to uger efter enheden omfattes af loven.
Hvornår er små og mellemstore virksomheder omfattet?
Af lidt større nyheder er, at MSSB har ændret definitionen af, hvornår de små og mellemstore virksomheder er omfattet af reglerne.
Tidligere var definitionen, at en virksomhed skulle have over 50 ansatte og en omsætning på over 10 millioner euro.
Det er med den foreslåede hovedlov ændret til, at en virksomhed er omfattet, hvis den enten har over 50 ansatte eller har en omsætning på over 10 millioner euro og en årlig balance på over 10 millioner euro.
Ændringen fra ”og” til ”eller” er ret signifikant, da det nu er betydeligt nemmere at være omfattet af reglerne, hvis man er en virksomhed, der ligger lige på grænsen, da man nu blot skal være over en af de to definerede grænser for antal ansatte eller omsætning.
Hvordan er koncerner med flere selskaber omfattet
En anden lidt større justering er, at det nu tydeligt er beskrevet, hvordan koncerner med flere selskaber er omfattet af reglerne.
Der står nemlig i lovteksten, at ”en enhed må anses for at være virksomheder, foreninger, organisationer og offentlige myndigheder med videre (juridiske personer), der er tildelt et CVR-nummer.
Et selskab med et underliggende datterselskab vil således være at anse for to separate enheder, forudsat at de har fået tildelt hver deres CVR-nummer.
Det betyder, at flere selskaber i en koncern kan være selvstændigt omfattet uden, at selve koncernen nødvendigvis er omfattet.
Men de mest markante justeringer som vi hæfter os ved, når vi læser den foreslåede hovedlov igennem, er dog 1) at kommuner omfattes, 2) et udvidet scope for omfattede systemer og 3) en klar definition af ledelsesorganerne.
Kommuner er omfattet
Med lovforslaget og i svaret på et folketingsspørgsmål gør MSSB det nemlig klart, at kommunerne nu er omfattet af NIS2-direktivets krav, hvilket er nyt i forhold til det første udkast til loven.
I den foreslåede hovedlovs afsnit 3.1.3 står der: ”Det er dog Ministeriet for Samfundssikkerhed og Beredskabs opfattelse, at offentlige forvaltningsenheder på lokalt plan eller uddannelsesinstitutioner, der leverer tjenester inden for sektorerne i lovens bilag 1 eller 2, vil blive underlagt lovens krav.”
Offentlige forvaltningsenheder på lokalt plan betyder i denne sammenhæng kommuner.
Et udvidet scope for omfattede systemer
Den foreslåede hovedlov byder også på en bredere definition af, hvilke systemer der skal forstås som omfattet.
Det beskrives nemlig at: ”NIS2-direktivet artikel 21, stk. 1, skal forstås som alle de net- og informationssystemer, som disse enheder anvender til deres operationer, eller til at levere deres tjenester, og ikke kun specifikke informationsteknologiske (it) aktiver eller kritiske tjenester, som enheden leverer.”
Det er altså ikke længere kun de vigtigste net- og informationssystemer, som bruges til at levere kerneydelser eller -processer; det er alle systemer, som de omfattede enheder bruger til at kunne fortsætte deres operationer.
Det er en væsentlig pointe at bemærke for mange, da dette for de fleste virksomheder betyder, at deres interne scope sandsynligvis er betydeligt større end først antaget.
At kommuner er omfattet og det udvidede scope for omfattede systemer understreges også samlet ved, at det i lovteksten står at ”offentlige forvaltningsenheder på lokalt plan, herunder kommuner, og uddannelsesinstitutioner ikke alene vil skulle træffe passende og forholdsmæssige foranstaltninger for at styre risiciene for sikkerheden i net- og informationssystemer vedrørende de aktiviteter, der er oplistet i lovens bilag, men for samtlige af de net- og informationssystemer, som de anvender til deres operationer, eller til at levere deres tjenester.”
Definition af ledelsesorganerne
I vores læsning af den foreslåede hovedlov, tydeliggøres det også hvem der menes, når direktivet og loven stiller krav til ledelsesorganerne.
Under punkt 3.4.2 skriver MSSB, at ”Det er på denne baggrund Ministeriet for Samfundssikkerhed og Beredskabs vurdering, at begrebet ’ledelsesorgan’ i NIS 2-direktivet skal forstås i overensstemmelse med definitionerne af henholdsvis det centrale ledelsesorgan i selskabslovens § 5, nr. 4, og ledelsen i LEV-lovens § 4 a, nr. 2, afhængigt af enhedens selskabsform.”
Dette betyder, at ”det centrale ledelsesorgan” defineres som:
a) bestyrelsen i selskaber, der har en direktion og en bestyrelse,
b) direktionen i selskaber, der alene har en direktion
c) direktionen i selskaber, der både har en direktion og et tilsynsråd
Eller som medlemmer af bestyrelsen, direktionen eller et tilsvarende ledelsesorgan for enkeltmandsvirksomheder, interessentskaber, kommanditselskaber, andelsselskaber (andelsforeninger) samt andre selskaber og foreninger med begrænset ansvar.
Mange – og herunder os selv - har hidtil arbejdet ud fra en forståelse af, at ledelsesorganet var direktionen, da ordet bestyrelse ikke fremgik af hverken den danske direktivtekst, eller det første lovforslag.
Derfor er det vigtigt at forstå, at med den foreslåede hovedlov peges der nu entydigt på bestyrelsen, som ansvarlig, hvilket for mange bestyrelses vedkommende vil kræve en opkvalificering.
Sammenfattende kan vi konstatere, at NIS2-lovforslaget rummer både kendte og forventede elementer såvel som justeringer, som er essentielle at forstå, når vi implementerer kravene.
Den foreslåede hovedlov giver ikke en fuldstændig konkretisering af kravene – der må vi forsat kigge i retning af bekendtgørelser og vejledninger.
De justeringer, som vi har gennemgået i denne klumme, peger i retning af en implementering, som stadig vil kræve tilpasninger efterhånden, som vi får mere viden
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.