Ny cyberregulering: lovforslag til NIS2, DORA og CER klar til februar 2024

Et nyt folketingsår blev skudt i gang tirsdag den 3. oktober. Her fremlagde statsministeren traditionen tro regeringens lovprogram med en oversigt over de lov- og beslutningsforslag, som regeringen forventer at fremsætte i 2023/2024. På cyberområdet omfatter det blandt andet lovforslag til implementering af NIS2- og CER-direktiverne, der gælder fra den 18. oktober 2024, samt ændringer til blandt andet lov om finansiel virksomhed som følge af DORA-forordningen, der gælder fra den 17. januar 2025. Lovprogrammet løfter blandt andet sløret for en særskilt – og skærpet – cyberregulering af energi- og finanssektoreren.

NIS2, DORA og CER er en del af en større lovpakke fra EU, der skal styrke modstandsdygtigheden mod blandt andet cyberangreb hos en lang række kritiske og vigtige virksomheder (og offentlige myndigheder) indenfor energi, forsyning, transport, finans, sundhed, digital infrastruktur og services, fødevarer og fremstilling/produktion med flere.

Ordforklaring

NIS2: Network & Information Security Directive (version 2)
DORA: Digital Operational Resiliency Act (forordning)
CER: Critical Entities Resilience Directive

...

De gældende cyberregler (primært NIS1-direktivet) dækker i dag omkring 150 danske virksomheder. De nye regler ventes at omfatte flere tusinde. I mange virksomheder bliver behov for et gearskifte i at få etableret en struktureret (og dokumenteret) tilgang til styring af digitale risici. Det gælder både hos øverste ledelse, i organisationerne og i deres leverandørforhold.

Implementering og tilsyn

Et ofte stillet spørgsmål er, hvordan danske myndigheder dels vil implementere og føre tilsyn med NIS2- og CER-direktiverne, dels vil foretage ændringer i den finansielle regulering som følge af DORA-forordningen. Det giver lovkataloget ikke svaret på, men det giver dog følgende foreløbige billede:

NIS2: "Lov om implementering af NIS2-direktivet" fremsættes af Forsvarsministeren i februar 2024, og omfatter implementering af NIS2 "i en række sektorer". Det tyder således på, at Forsvarsministeriet udarbejder en fælles rammelovgivning, der nærmere skal udmøntes (via bekendtgørelser) hos de udpegede ressortmyndigheder. Vi kender formentlig først de endelige ressortmyndigheder, når lovforslaget er fremlagt. Det ses dog allerede nu, at der lægges op til særskilt cyberlovgivning for energi- og finanssektoren (se pkt. 3 og 4).
CER: "Lov om implementering af CER-direktivet" fremsættes af Forsvarsministeren i februar 2024 og omfatter implementering af CER-direktivet "i en række sektorer". CER omhandler digital og fysisk sikkerhed i konteksten af hybride angreb, naturkatastrofer, terrortrusler og folkesundhedskriser. Reglerne vil gælde for specifikt udpegede virksomheder indenfor 11 kritiske sektorer, og vil delvist have et overlap med NIS2 og DORA.
Energisektor: "Lov om styrket beredskab i energisektoren" fremsættes af Klima-, energi- og forsyningsministeren i februar 2024. Lovforslaget skal sikre implementering af både NIS2 og CER i energisektoren. Den særskilte regulering for energisektoren begrundes med et "højt og markant trusselsniveau mod energisektoren" og behovet for et "ambitiøst beredskabsniveau" samt hjemmel for myndighederne til "sikkerhedsgodkendelse af ansatte med kritiske funktioner".
Finansiel sektor: "Ændring af lov om finansiel virksomhed og forskellige andre love" fremsættes af Erhvervsministeren i februar 2024, og omfatter dels implementering af NIS2 i relation til finansielle datacentraler og IT-operatører af detailbetalingssystemer, dels ændringer til lov om finansiel virksomhed som følge af DORA. I praksis finder DORA anvendelse for alle finansielle virksomheder, samt visse systemiske IT-leverandører (blandt andet de største cloudleverandører). Finanstilsynet vil efter alt at dømme forblive tilsynsmyndighed for fælles datacentraler, IT-operatører af detailbetalingssystemer og øvrige finansielle virksomheder.

...