Krav til compliance
Med indførelsen af EU-direktivet 2022/2555, også kort kaldet NIS 2, er kravene til compliance i virksomheder steget. Med NIS 2 reageres der på truslen om cyberangreb i EU. Direktivet regulerer cyber- og informationssikkerhed for virksomheder og institutioner. Cyberangreb betragtes nu globalt som en af de største forretningsrisici for virksomheder.
NIS 2 erstatter EU-direktivet 2016/1148 (NIS 1) og skal bidrage til at forbedre cybersikkerheden i EU og bedre beskytte virksomhederne. Implementeringen af NIS-2-direktivet stiller også øgede krav til risikostyring og compliance i mange virksomheder. Hvis foranstaltningerne i virksomhederne ikke implementeres korrekt, kan det medføre sanktioner, ifølge økonomisk advokatfirma MTR Legal.
EU har vedtaget NIS-2-direktivet i 2023, og medlemslandene skal implementere det i national lovgivning inden 2025. Hvilke virksomheder der er berørt af direktivet, afhænger primært af deres aktivitetsart. Direktivet er blevet udvidet til at omfatte flere virksomheder, der betragtes som væsentlige (essential) og vigtige (important). Dette fører til en betydelig stigning i antallet af virksomheder og institutioner, der har lovpligtige forpligtelser over for Forbundskontoret for Informationssikkerhed (BSI).
Kritiske infrastrukturer berørt
De kritiske infrastrukturer, der allerede var dækket af NIS-1-direktivet såsom energi, transport, sundhedsvæsen, finans, vandforsyning og digital infrastruktur, er berørt af NIS-2-direktivet til yderligere sektorer. Dette inkluderer offentlige elektroniske tjenester, yderligere digitale tjenester som sociale platforme, spildevands- og affaldshåndtering, post- og kurer tjenester, offentlig administration eller producenter af kritiske produkter. Ifølge estimater vil ca. 29.000 virksomheder i Tyskland på tværs af brancher være berørte af implementeringen af NIS-2-direktivet. Primært vil mellemstore og store virksomheder i de kritiske sektorer blive bedt om at tage passende foranstaltninger for cybersikkerhed og etablere en effektiv compliance. De vil også være forpligtet til at informere de relevante myndigheder om sikkerhedshændelser med betydelige forstyrrelser eller skader.
NIS-2-direktivet indeholder også bestemmelser for tilsyn, håndhævelse og frivillige peer reviews, for at styrke den gensidige tillid og cybersikkerhed i hele EU. Dette betyder også, at ledelsen kan holdes ansvarlig, hvis foranstaltninger til cybersikkerhedsstyring ikke efterleves.
Reaktion på angreb på cybersikkerhed
Med NIS-2-direktivet oprettes også et netværk af Computer Security Incident Response Teams for at udveksle oplysninger om sikkerhedstrusler og reagere passende på hændelser. Derudover oprettes det europæiske netværk af forbindelsesorganisationer for cyberkriser. Dette netværk understøtter regelmæssig informationsudveksling mellem medlemslandene og EU-institutionerne for at kunne reagere på hændelser og kriser af stor skala.
Hvordan NIS 2 præcist implementeres i national lovgivning i Tyskland er endnu ikke fastlagt, da implementeringen er forsinket på grund af de fremrykkede Bundestagsvalg. Det står dog klart, at med implementeringen vil cybersikkerhed også blive et emne for mange mellemstore virksomheder.
Virksomheder skal implementere sikkerhedsforanstaltninger
De bliver med NIS 2 udfordret til at implementere nødvendige sikkerhedsforanstaltninger for at beskytte data og kritisk infrastruktur mod mulige cyberangreb. Til dette skal nødvendige tekniske og organisatoriske foranstaltninger træffes. Hvis virksomheden bliver offer for et cyberangreb, skal der være planer for straks at begrænse skaden og genetablere systemerne. De relevante myndigheder skal også informeres. Derudover skal virksomhederne gennemføre regelmæssige tests for at afsløre og afhjælpe sårbarheder. Cybersikkerhed bør også eksistere inden for forsyningskæden. Derfor skal risici her også imødegås.
Implementeringen af NIS-2-direktivet udgør udfordringer for en effektiv compliance i de berørte virksomheder, især da bestyrelser og ledende organer også personligt kan være ansvarlige, hvis de nødvendige sikkerhedsforanstaltninger ikke implementeres.
MTR Legal støtter virksomheder i implementeringen af effektive compliance-systemer og sikrer, at lovkravene overholdes. Som økonomisk advokatfirma rådgiver MTR Legal om compliance og andre emner inden for økonomisk strafferet.
Du er velkommen til at kontakte os!
