Danske kommuner omfattes af NIS2

Ministeriet for Samfundssikkerhed og Beredskab fremsatte den 6. februar 2025 tre lovforslag, der implementerer NIS2-direktivet i Danmark. Lovforslagene betyder, at kommuner nu omfattes af direktivet, som stiller skærpede krav til cybersikkerhed. Kommunerne skal blandt andet styrke deres IT-sikkerhed, sikre leverandørstyring, rapportere hændelser hurtigt og udpege ansvarlige for cybersikkerhed. 

Danske kommuner skal overholde NIS2-direktivet om cybersikkerhed

Den 6. februar 2025 fremsatte Ministeriet for Samfundssikkerhed og Beredskab tre lovforslag, der vil få stor betydning for kommunernes cybersikkerhed. Lovforslagene implementerer EU’s NIS2-direktiv, som ministeren for Samfundssikkerhed og Beredskab den 5. februar 2025 kunne afsløre i et folketingsspørgsmål også vil komme til at omfatte kommunerne. Der har i længere tid været tvivl om, hvorvidt kommunerne ville være omfattet af lovforslaget, da regeringen tidligere har givet udtryk for, at man ville lade kommunerne stå udenfor direktivets krav. EU har i NIS2-direktivet ladet det være op til de enkelte medlemslande at tage stilling hertil, men regeringen har nu taget endelig stilling til spørgsmålet.

NIS2-direktivets implementering i Danmark har været længe undervejs

NIS2-direktivet blev vedtaget af EU i 2022 som en opfølgning på det oprindelige NIS-direktiv fra 2016 og har som formål at styrke cybersikkerheden i medlemslandene. Direktivet blev introduceret som et svar på den stigende trussel fra cyberangreb, der i de senere år har ramt både offentlige og private aktører på tværs af Europa. Implementeringen af NIS2-direktivet i Danmark har været længe undervejs. NIS2 udvider kravene til en større gruppe organisationer, herunder nu også offentlige myndigheder som kommuner, der tidligere ikke var omfattet af direktivet. Selvom direktivet blev vedtaget på EU-niveau i 2022, har arbejdet med at implementere det i dansk lovgivning taget tid. Men Folketinget skal nu behandle det fremsatte lovforslag.

Øgede krav om cybersikkerhed for kommunerne

For offentlige myndigheder, herunder kommuner, betyder NIS2-direktivet, at der stilles strengere krav til at implementere cybersikkerhedsforanstaltninger, der beskytter mod cybertrusler og cyberangreb. Derudover stiller direktivet blandt andet krav om at gennemføre risikovurderinger af IT-systemer, beskytte kritisk infrastruktur mod sårbarheder, rapportere cybersikkerhedshændelser og udpege ansvarlige personer for cybersikkerhed på ledelsesniveau.

Hvis I har brug for hjælp til implementering af NIS2 er I velkomne til at kontakte advokat Anders Hosbond Nielsen.