Tre nye love træder i kraft: Danmark styrker beredskabet og sikkerheden i kritisk infrastruktur
Den 1. juli træder tre nye love i kraft, der samlet skal styrke Danmarks digitale og fysiske modstandsdygtighed. Lovene gennemfører EU's NIS 2-direktiv og CER-direktiv og stiller nye krav til både cybersikkerhed og fysisk sikring i kritiske sektorer.
Ny standard for cybersikkerhed i kritiske sektorer
NIS 2-loven implementerer EU's direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele EU. Loven skærper kravene til informationssikkerhed i en bred vifte af sektorer, herunder transport, sundhed og digital infrastruktur.
Formålet med loven er at styrke samfundets samlede cybersikkerhed ved at sikre, at kritiske og vigtige enheder arbejder systematisk med risikostyring, hændelseshåndtering og sikkerhedstiltag.
Styrelsen for Samfundssikkerhed understøtter implementeringen af loven med fire tværgående vejledninger, der forklarer lovens centrale begreber og krav. Vejledningerne er udarbejdet i tæt samarbejde med erhvervslivet og de sektoransvarlige myndigheder, som har spillet en vigtig rolle i, at materialet er relevant, anvendeligt og tilpasset virkeligheden for de mange enheder, der fremover skal efterleve loven. Vejledningerne kan findes her.
I perioden fra NIS 2-loven træder i kraft d. 1. juli og frem til 1. oktober skal de omfattede enheder registrere sig via Virk.dk.
Fra 1. juli skal NIS 2-omfattede virksomheder og myndigheder indberette væsentlige hændelser via Virk.dk. Indberetninger håndteres af Forsvarets Efterretningstjeneste, som varetager opgaven som national CSIRT.
Yderligere information om NIS 2 kan findes her: www.samsik.dk/nis2
CER-loven – krav til fysisk modstandsdygtighed i kritisk infrastruktur
CER-loven implementerer EU's direktiv om kritiske enheders fysiske modstandsdygtighed. Loven omfatter enheder i 11 samfundsvigtige sektorer, herunder bl.a. energi-, transport-, fødevare- og sundhedssektoren og pålægger dem at beskytte sig mod en bred vifte af trusler og hændelser.
Formålet med loven er at sikre, at samfundsvigtige funktioner kan opretholdes i bedst muligt omfang – også ved alvorlige hændelser som naturkatastrofer, terror eller tekniske sammenbrud.
Styrelsen for Samfundssikkerhed har det overordnede ansvar for koordinering og tilsyn med implementeringen og vil samarbejde tæt med sektoransvarlige myndigheder om vejledning og støtte til de omfattede enheder.
Enheder, der bliver omfattet af CER loven, udpeges af de kompetente myndigheder, som er fastsat af Ministeriet for Samfundssikkerhed og Beredskab. Udpegningen af enheder skal senest ske den 17. juli 2026. Når de kritiske enheder er blevet gjort bekendt med deres udpegning, har disse hhv. ni og ti måneder til at opfylde de materielle CER krav.
Styrket sikkerhed i telesektoren
Loven om sikkerhed og beredskab i telesektoren og de tilhørende bekendtgørelser opdaterer reguleringen på området og implementerer samtidig NIS 2-direktivet specifikt for telesektoren.
Formålet er at sikre, at samfundets digitale kommunikation – som telefoni, internet og datatjenester – fungerer stabilt og sikkert, selv under pres eller ved angreb.
Som følge af NIS2-implementeringen ændres teleudbydernes pligt til at underrette Styrelsen for Samfundssikkerhed ved væsentlige sikkerhedshændelser. Underretning om sikkerhedshændelser sker fortsat via Virk.dk, men fremadrettet skal teleudbyderne indsende både en tidlig varsling indenfor 24 timer, en ajourføring af denne indenfor 72 timer samt en endelig rapport senest en måned efter det tidlige varsel. Formularen til underretning om sikkerhedshændelser er tilpasset de ændrede krav. Se desuden vejledning om hændelsesunderretning her.
Desuden skal teleudbydere, som omfattes af lov om sikkerhed og beredskab i telesektoren, registrere sig. Dette sker ligeledes via Virk.dk.
Styrelsen for Samfundssikkerhed fører tilsyn med teleudbydernes overholdelse af lov om sikkerhed og beredskab i telesektoren og de regler, der er udstedt i medfør af loven.