NIS2-direktivet træder officielt i kraft
Den 27. december 2022 blev det endeligt vedtagne NIS2-direktiv offentliggjort i EU-tidende, og NIS2-direktivet træder i kraft 20 dage herefter. Med det nye direktiv vil særligt ledelsen i de omfattede virksomheder få en helt central rolle. Du kan herunder blive klogere på, hvordan NIS2-direktivet vil påvirke ledelsen.
Strenge krav til ledelsen
Ledelsen i de omfattede virksomheder bør være forberedte på, at man vil kunne blive mødt med betydelige sanktioner i tilfælde af manglende efterlevelse. Ledelsen vil formentlig opleve, at der med NIS2-direktivet fremadrettet stilles strenge krav til virksomhedens cybersikkerhed.
Det er samtidig endeligt fastlagt, at ledelsesmedlemmer på direktionsniveau kan blive frataget deres ledelsesmæssige beføjelser ved manglende efterlevelse. De kompetente myndigheder kan i tilfælde af virksomhedens manglende efterlevelse anmode relevante organer eller domstole om at forbyde en eller flere personer med ledelsesansvar at udøve ledelsesfunktioner.
Tilsvarende vil der kunne ske suspendering af certificeringer eller godkendelser vedrørende virksomhedens tjenester og aktiviteter.
Sanktionsmulighederne er betydelige og kan under visse omstændigheder påvirke ledelsens og virksomhedens eksistensgrundlag. Ledelsen bør af samme grund påbegynde implementeringen og forberedelsen af virksomhedens cybersikkerhed så tidligt så muligt.
Er du i tvivl om, hvilke konkrete krav, der forventes at blive stillet til din virksomhed – samt hvilke sektorer, der er berørt at NIS2-direktivet? Vi har samlet et overblik over forventede krav og sektorer i NIS2-direktivet i denne artikel.
Hvornår får reglerne virkning over de omfattede danske virksomheder?
Det følger af NIS2-direktivet, at medlemsstaterne skal vedtage de love og bestemmelser, der er nødvendige for at sikre implementering af NIS2-direktivet senest den 17. oktober 2024. Medlemsstaterne, herunder Danmark, skal derfor senest fra den 17. oktober 2024 have implementeret direktivet i dansk lovgivning og herefter fra den 18. oktober 2024 anvende og håndhæve de nævnte nationale bestemmelser og love.
NIS2-direktivet er et såkaldt sektorreguleret minimumsdirektiv. Det betyder i praksis, at de danske myndigheder har mulighed for at fastsætte egne sektorbestemte nationale regler ved at skærpe og udvide direktivets anvendelsesområde af hensyn til blandt andet tilsyns-, håndhævelses- og sanktionsmuligheder. Danmark kan dog ikke fastsætte nationale regler, som er i modstrid med NIS2-direktivet og/eller i øvrigt er utilstrækkelige til at opfylde direktivets krav.
Det lovgivningsmæssige råderum kan derfor få afgørende betydning for enkelte eller flere omfattede sektorer. Det er vores forventning, at NIS2-direktivet ikke vil være begrænset til en lovgivning, men at der i stedet vil ske en opdeling i reguleringen med flere bekendtgørelser eller love inden for NIS2-området, der tilsvarende vil blive håndteret af flere sektorspecifikke myndigheder.
Vil du læse mere om det nye NIS2-direktiv, kan du tilgå direktivet i sin fulde længde her.
Vil du holdes opdateret på nyheder om NIS2-direktivet?
I vores nye nyhedsserie om NIS2-direktivet vil vi løbende opdatere dig om, hvordan den danske lovgivningsproces og implementering af NIS2-direktivet udvikler sig. Artiklerne vil være målrettet ledelsen i virksomheder inden for de sektorer, der omfattes af NIS2-direktivet. Vil du sikre, at du får adgang til de kommende artikler om NIS2-direktivet, skal du tilmelde dig via denne formular
Har du spørgsmål til, hvordan du håndterer det nye NIS2-direktiv, er du altid velkommen til at kontakte DAHLs specialister Frans Skovholm, Arly Carlquist og Mads Gregersen for en uforpligtende drøftelse.