Fra NIS1 til NIS2: Styrket Cybersikkerhed i Europa: I takt med den stigende digitalisering og den voksende trussel fra cyberangreb vedtog EU i 2016 det første net- og informationssikkerhedsdirektiv, NIS1. Formålet var at skabe et fælles, højt niveau af cybersikkerhed på tværs af medlemsstaterne og sikre stabiliteten i det indre marked. NIS1 lagde fundamentet for bedre cyberresiliens, men evalueringen viste hurtigt, at implementeringen var ujævn, og at mange organisationer ikke i tilstrækkelig grad havde taget direktivets krav til sig.

EU-Kommissionens vurdering af NIS1 afslørede en fragmenteret tilgang til cybersikkerhed i Europa. Der var mangel på fælles forståelse af trusler og sikkerhedsforanstaltninger, og cyberkriminaliteten udviklede sig hurtigere end reguleringen. Især ransomware-angreb mod kritisk infrastruktur understregede behovet for et opdateret og mere omfattende lovgivningsmæssigt rammeværk. Dette førte til vedtagelsen af NIS2-direktivet.

Kritisk Infrastruktur: En ny definition i NIS2 – NIS2 ændrer ikke blot omfanget af virksomheder, der er omfattet, men redefinerer også, hvad vi forstår som kritisk infrastruktur. Informationsteknologi er blevet en uundgåelig del af vores hverdag, og samfundets afhængighed af digitale systemer gør det nødvendigt at beskytte en langt bredere vifte af organisationer.

Cyberangreb mod energi- og forsyningssektoren i Ukraine og USA har vist, hvor sårbare selv de mest avancerede systemer kan være.

Også i Danmark har vi set alvorlige cyberangreb mod vitale sektorer. I maj 2023 blev 22 danske energiselskaber ramt af et omfattende angreb, som afslørede alvorlige sikkerhedsmangler – selv blandt virksomheder, der anses for at have et højt modenhedsniveau inden for cybersikkerhed. Det understreger, at selv de mest kritiske aktører fortsat har sårbarheder, der kan udnyttes af trusselsaktører. NIS2 gør det klart, at sådanne mangler ikke længere er acceptable.

Men kritisk infrastruktur handler ikke kun om energi og forsyning. Også transport, medicinalindustrien og fødevaresektoren er afgørende for et velfungerende samfund. Desuden er digitale tjenesteudbydere nu eksplicit omfattet af NIS2, hvilket anerkender den stigende afhængighed af digitale løsninger i alle brancher. NIS2 sikrer, at disse sektorer får de nødvendige sikkerhedskrav for at beskytte samfundet bedre.

NIS2 har et væsentligt bredere anvendelsesområde end sin forgænger. Hvor NIS1 primært fokuserede på operatører af kritisk infrastruktur som energiforsyning og transport, udvider NIS2 omfanget til en lang række sektorer og organisationer, herunder producenter af essentielle produkter, digitale tjenesteydere, fødevareindustrien og medicinalsektoren. NIS2 kategoriserer organisationer som enten "vigtige" eller "væsentlige" og underlægger dem de samme cybersikkerhedskrav, dog med forskellige grader af tilsyn og sanktioner.

For at sikre overholdelse af NIS2-direktivet introducerer NIS2 strenge sanktionsmuligheder. Ligesom GDPR indeholder NIS2 bøder baseret på en procentdel af organisationens globale omsætning, men går endnu længere ved at inkludere personlige sanktioner mod ledelsen. Direktører og bestyrelsesmedlemmer kan nu blive holdt personligt ansvarlige for manglende efterlevelse af NIS2, hvilket i værste fald kan resultere i forbud mod at drive virksomhed.