Den danske NIS 2-lov er den primære lovtekst, virksomheder bør orientere sig i. Udover denne findes der tre relevante regelsæt inden for NIS 2: NIS 2 gennemførelsesforordningen, NIS 2-direktivet og Bekendtgørelsen om udpegning af kompetente myndigheder.
Den danske NIS 2-lov udgør den primære nationale implementering af NIS 2-direktivet. Loven fastsætter specifikke krav til de enheder, der bliver omfattet af loven. Det gælder fx krav til foranstaltninger for at styrke cybersikkerheden, krav til ledelsen og krav om at underrette myndigheder ved væsentlige hændelser. Det kan være en god idé at læse loven sammen med NIS 2-direktivet for sikre den rigtige ramme for forståelsen af NIS 2-loven.
NIS 2-loven (retsinformation.dk)
Gennemførelsesforordningen supplerer NIS 2-loven for de fleste enheder i de digitale sektorer. Reglerne præciserer, hvornår en hændelse skal betragtes som væsentlig, og fastsætter de tekniske og metodologiske krav til håndtering af cybersikkerhedsrisici.
NIS 2 Gennemførelsesforordning om kritiske enheder og netværk (Europakommissionen)
Se desuden ENISA's vejledning til gennemførelsesforordningen der understøtter enheder i at efterleve kravene: ENISA guidelines
NIS 2-direktivet er forkortelsen for Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen. Den danske NIS 2-lov implementerer forpligtelserne i direktivet, og direktivet er altså den bagvedliggende retskilde til den danske lov. Det kan derfor, som tidligere nævnt, være en god idé at læse NIS 2-loven sammen med direktivet for sikre den rigtige ramme for forståelse.
Hele formålet med NIS 2-direktivet er at styrke og ensarte cybersikkerheden og modstandsdygtigheden overfor cybertrusler på tværs af EU for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være kritiske for økonomien og samfundet.
NIS 2-direktivet på EUR-lex.europa.eu
Bekendtgørelsen omfatter to hovedpunkter: 1) At fastlægge hvilke danske myndigheder, der har ansvaret for tilsyn med NIS 2-kravene. 2) At definere hvordan virksomheder skal registrere sig og hændelsesrapportere i forbindelse med sikkerhedshændelser – som supplement til de rammer, der er beskrevet i selve NIS 2-loven.
Bekendtgørelse om udpegning (retsinformation.dk)
Hvis du har spørgsmål om NIS 2 for enheder, der leverer digitale tjenester, kan du kontakte Digitaliseringsstyrelsen på NIS2@digst.dk.