Det er netop meldt ud, at Finanstilsynet har sendt et udkast til lovforslag i høring. Lovforslaget er en delvis implementering af NIS2-direktivet og har til formål at gennemføre NIS2-direktivet inden for den finansielle sektor.

NIS2-direktivet skal sikre et højt fælles cybersikkerhedsniveau på tværs af EU-landene, og direktivet er en opgradering af det nuværende NIS-direktiv i anerkendelse af et globalt ændret trusselsbillede.

Direktivet har fokus på relevante cybertrusler og sikkerhed relateret til net- og informationssystemer. Direktivet finder anvendelse for organisationer i visse udvalgte sektorer.

For at sikre opretholdelsen af kritiske enheder sætter NIS2 øgede krav til risikostyring, indberetning af hændelser, dokumentation og de facto-håndhævelse i den daglige drift. De omfattede organisationer skal blandt andet kortlægge relevante systemer, identificere kritiske faktorer for driftskontinuiteten, foretage en risikovurdering, verificere nuværende sikkerhedsniveau, udarbejde politikker og procedurer for effektiv risikostyring, udarbejde hændelseslog og have klare procedurer for krisestyring samt en beredskabsplan.

Lovforslag sendt i høring

Det konkrete lovforslag blev fremsat den 15. november 2023 og har blandt andet til formål at implementere NIS2-direktivet inden for den finansielle sektor. Foranstaltningerne i lovforslaget, der skal sikre en effektiv styring af it- og cyberrisici, er en næsten identisk implementering af ordlyden af kravene i NIS2-direktivets artikel 21.

Lovforslaget slår fast, at det er bestyrelserne i de omfattede organisationer, der er ansvarlige for it- og cyberrisikostyring og som derfor skal godkende organisationernes cybersikkerhedsstrategier.

Lovforslaget konkretiserer samtidig kravene til organisationernes styring og indberetning af it- og cyberhændelser. Finanstilsynet bliver den tilsynsførende myndighed, og Finanstilsynet får dermed beføjelser til blandt andet at pålægge organisationerne audits og ultimativt midlertidig suspension af certificeringer samt forbud mod ledelsesmedlemmers fortsatte ledelsesfunktion.

Organisationer inden for den finansielle sektor bør foruden NIS2-kravene også være opmærksomme på den mere sektorspecifikke DORA-forordning, som finder anvendelse fra den 17. januar 2025.

NIS2-direktivet blev vedtaget af EU den 27. december 2022 og skal senest være fuldt implementeret i dansk ret den 18. oktober 2024.

Høringsfristen for lovforslaget udløber den 20. december 2023. 

Lovforslaget kan læses på høringsportalen her.

 

Juridisk bistand til håndteringen af NIS2

Bech-Bruun har omfattende erfaring og ekspertise inden for alle regulatoriske it-sikkerhedskrav, herunder implementering og håndtering af NIS2-kravene i praksis.

Hos Bech-Bruun overvåger vi implementeringen af NIS2-direktivet i dansk ret og deler nyheder herom i takt med, at implementeringsprocessen skrider frem.

Læs mere om vores rådgivning inden for NIS2 her.