I Danmark implementeres NIS2-direktivet gennem en ny lov, som Ministeriet for Samfundssikkerhed og Beredskab har fremsat. Loven skaber en fælles ramme for implementeringen af NIS2 på tværs af de omfattede sektorer. Den 6. februar 2025 blev forslaget til den danske tværsektorielle hovedlov fremsat i Folketinget, og reglerne forventes at træde i kraft i juli 2025.
Hovedloven dækker de fleste af de sektorer, som direktivet omfatter, men energi-, tele- og finanssektoren får egne sektorspecifikke love. På sigt vil hovedloven blive suppleret med bekendtgørelser for de øvrige sektorer for at præcisere reglerne yderligere.
NIS2-modenhedsvurdering: Lever din virksomhed op til minimumskravene?
NIS2-direktivet stiller skærpede krav til virksomheders håndtering af cyber- og informationssikkerhed. Uanset om I er direkte omfattet eller indirekte påvirket via forsyningskæden, kan de nye regler kræve omfattende tilpasninger.
Modenhedsvurdering: Få styr på de 10 vigtigste minimumskrav
NIS2’s minimumskrav
NIS2-direktivet fastsætter ti overordnede minimumskrav til sikkerhedsforanstaltninger. Direktivet forventes at blive implementeret i dansk ret med et minimum af ændringer. Med andre ord følger lovforslaget til hovedloven tæt direktivets ordlyd, og omfattede organisationer kan derfor forvente, at kravene i dansk lovgivning ikke bliver skærpet yderligere.
Forpligtelsen til at implementere minimumskravene bygger på en risikobaseret tilgang, som vi kender fra GDPR, men med et særligt fokus på cybersikkerhed og beskyttelse af samfundskritiske tjenester og infrastruktur. Organisationer skal derfor træffe passende tekniske, operationelle og organisatoriske foranstaltninger for at håndtere sikkerhedsrisici i net- og informationssystemer.
Gennemførelsesretsakt til NIS2-direktivet
For at præcisere de tekniske, operationelle og organisatoriske minimumskrav for digitale udbydere har EU-Kommissionen vedtaget en bindende gennemførelsesretsakt. Den gælder direkte for virksomheder inden for følgende områder:
DNS-tjenesteudbydere.
Topdomænenavneadministratorer og udbydere af cloudcomputingtjenester.
Udbydere af datacentertjenester.
Udbydere af indholdsleveringsnetværk.
Udbydere af administrerede tjenester, herunder sikkerhedstjenester.
Udbydere af onlinemarkedspladser og onlinesøgemaskiner.
- Udbydere af platforme for sociale netværkstjenester og tillidstjenester.
I modsætning til direktivet har gennemførelsesretsakten direkte juridisk virkning, hvilket betyder, at de omfattede organisationer straks skal efterleve kravene – uden at afvente dansk implementering.
PwC anbefaler derfor, at digitale udbydere allerede nu begynder arbejdet med at implementere lovgivningen og iværksætte de nødvendige sikkerhedsforanstaltninger. Desuden kan gennemførelsesretsakten fungere som inspiration for andre organisationer, der ønsker at styrke deres cybersikkerhed.
Forsyningskædesikkerhed
Det er ikke kun organisationer, der leverer samfundskritiske tjenester, som skal implementere sikkerhedsforanstaltninger. NIS2-direktivet kræver også, at omfattede organisationer forholder sig til sikkerheden i deres forsyningskæde, herunder deres direkte leverandører og tjenesteudbydere.
Ofte vil det resultere i kontraktlige krav til de outsourcede aktiviteter. Derfor er det vigtigt, at organisationer vurderer, om de er klar til at opfylde disse krav – både som primære aktører og som underleverandører.
PwC’s rolle som revisor
NIS2-direktivets krav til forsyningskædesikkerhed, der dækker forholdet mellem organisationer og deres leverandører, gør det relevant for revisorer at arbejde i krydsfeltet mellem regulerede enheder og deres forsyningskæde.
FSR – danske revisorer har derfor udviklet en uafhængig ISAE 3000-erklæring med begrænset sikkerhed (NIS2-erklæring). Den erklæring omfatter kontrolmål og aktiviteter, der sikrer styring af risici i net- og informationssystemer samt organisationens rapporteringsforpligtelser.
NIS2-erklæringen:
Dokumenterer overholdelse af lovgivning og krav fra kunder og myndigheder
- Kan være med til at understøtte tilsyns processen over for tilsynsmyndigheder
Fordele ved en ISAE 3000-erklæring fra PwC
En ISAE 3000-erklæring kan styrke organisationens sikkerhed og compliance på flere måder:
- Øget tillid – Dokumenterer, at virksomheden har robuste kontroller, hvilket styrker tilliden hos kunder og samarbejdspartnere.
- Compliance – Hjælper med at demonstrere overholdelse af NIS2-krav og kan være med til at understøtte eksterne tilsyn.
- Risikovurdering – PwC gennemfører en grundig risikovurdering og gap-analyse for at identificere og afhjælpe mangler.
- Ekspertise – PwC har omfattende erfaring med revision og compliance, hvilket sikrer høj kvalitet.
- Type 1 og Type 2-erklæringer – PwC tilbyder både:
- Type 1: Vurderer design og implementering af kontroller
- Type 2: Tester kontroller over tid for at sikre effektivitet
PwC’s anbefaling: Start med en modenhedsvurdering
Før arbejdet med en NIS2-erklæring anbefaler vi, at organisationer foretager en modenhedsvurdering af uafhængige revisorer. Det giver et klart billede af virksomhedens nuværende sikkerhedsniveau og hjælper med at prioritere indsatsen.
Formålet med en modenhedsvurdering:
- Statusmåling – Identificerer nuværende sikkerhedsniveau i forhold til NIS2’s minimumskrav.
- Strategisk planlægning – Danner grundlag for en handlingsplan, der sikrer compliance.
- Ressourceallokering – Viser, hvor ressourcer bedst kan bruges for maksimal effekt.
- Benchmarking – Sammenligner sikkerhedsniveau med industristandarder og konkurrenter.
- Procesoptimering – Identificerer områder, der kan forbedres for at øge sikkerhed og effektivitet.
Allerede etablerede rammeværker som ISO 27001/2 kan bruges som fundament til at opfylde NIS2-kravene. PwC hjælper med at kortlægge organisationens eksisterende kontroller op mod FSR’s NIS2-erklæringsrammeværk og identificere de nødvendige tiltag for fuld compliance.
NIS2-modenhedsvurdering: Lever din virksomhed op til minimumskravene?
Få indblik i de 10 vigtigste minimumskrav.
Kontakt os
Rico Lundager
