NIS2-loven er trådt i kraft 1. juli 2025!
Nu gælder det: NIS2-loven er trådt i kraft!
I dag er den danske NIS2-hovedlov L 434 officielt trådt i kraft. Det betyder, at kravene til cybersikkerhed skal efterleves.
Vær især opmærksom på, at forpligtelse om Indberetning af brud på sikkerhed (hændelsesrapportering) på VIRK.dk gælder allerede fra d. 1/7 2025. Se SAMSIK vejledning 4 herom.
For både offentlige og private organisationer, der er omfattet, betyder det:
- Ledelsen har et klart ansvar for governance og risikostyring
- Kom primært på plads selv først, inden forsyningskædesikkerhed adresseres – med mindre forsyningskædesikkerhed rummer høj risiko
- Blandt andet skal risikostyring, hændelseshåndtering, og forsyningskædesikkerhed (leverandørstyring) være på plads.
- Kontinuerlig evaluering af foranstaltninger og risikostyring er vigtig.
- Tilsyn fra tilsynsmyndigheder kan nu finde sted
- Tilsyn forventes ske med blød opstart i 2025
- Nok ingen bøder i 2025 og 2026
- Rigsrevisionen kan inddrage NIS2-krav i deres indsats/tilsyn
- Foranstaltninger
- Skal være i samklang med jeres risikostyring og risikoappetit.
- Herunder de 10 cybersikkerhed minimums punkter i NIS2-lov.
- Husk dokumentation for hvad I vil kontrollere, hvordan og hvordan I kan bevise det.
- Eksempelvis indeholder SAMSIK vejledning 2+3 216 forhold du skal forholde dig til og kunne dokumentere og/eller begrunde fravalgt i fht. risikostyringen.
- Skal være i samklang med jeres risikostyring og risikoappetit.
Kort sagt: Den er en nutidig forpligtelse.
