NIS2: alt det, du skal vide om cybersikkerhedsloven og softwareindkøb
NIS2 er den største europæiske cybersikkerhedslov i flere år. For organisationer i kritiske sektorer ændres der meget, også inden for softwareindkøb og leverandørstyring. Her er alt, hvad du skal vide.
- 15. januar 2025
- 5 min
- NIS2 – Cybersecuritydirektiv
NIS2-direktivet er den største europæiske cybersikkerhedslov i flere år. Det har et bredt scope, streng håndhævelse og er direkte relevant for alle, der er ansvarlige for softwareindkøb i en organisation. Her er hvad du skal vide.
Hvad er NIS2?
NIS2 står for Network and Information Security Directive 2, efterfølgeren til det oprindelige NIS-direktiv fra 2016. Direktivet pålægger organisationer i kritiske sektorer at styrke deres digitale modstandskraft strukturelt. NIS2 træder i kraft i hele Europa den 17. oktober 2024. Den danske implementering via cybersikkerhedsloven forventes i 2. kvartal 2026.
Hvem gælder NIS2 for?
NIS2 gælder for organisationer inden for 18 kritiske sektorer, opdelt i essentielle og væsentlige enheder. Tænk på: energi, transport, sundhedsvæsen, vand, digital infrastruktur, finansielle tjenester, offentlig sektor og mere. Men også leverandører til organisationer i disse sektorer kan indirekte være omfattet af loven gennem kædeansvar.
Hvad ændrer sig i forhold til NIS1?
De vigtigste ændringer:
Bredere rækkevidde: Mange flere sektorer og organisationer omfattes nu af direktivet
Personligt ansvar: Ledelsen er ansvarlig for overholdelse og kan holdes personligt ansvarlig
Højere bøder: Op til €10 millioner eller 2 % af den globale årsomsætning for essentielle enheder
Kædeansvar: Organisationer skal også overvåge beskyttelsen hos deres leverandører
Indberetningspligt: Hændelser skal anmeldes inden for 24 timer til CSIRT
Hvad betyder NIS2 for softwareindkøb?
Kædeansvaret er den mest direkte påvirkning på softwareindkøb. Organisationer er forpligtede til:
At holde et opdateret overblik over alle IT-leverandører og software
At indgå kontraktlige sikkerhedsaftaler med alle relevante leverandører
At evaluere leverandørernes sikkerhed periodisk
At aftale incident-eskaleringsprocedurer med kritiske softwareleverandører
Uden et struktureret softwareoverblik er NIS2-overholdelse ikke mulig. SoftVaro hjælper organisationer med at skabe dette overblik som et udgangspunkt for compliance.
Ofte stillede spørgsmål
De mest stillede spørgsmål om dette emne.
Hvad har NIS2 med softwareindkøb at gøre?
NIS2 forpligter organisationer til at holde et opdateret overblik over al software og IT-leverandører, inklusive kontraktlige sikkerhedsaftaler. Uden dette overblik er man ikke compliant.
Hvornår træder NIS2 i kraft i Danmark?
Cybersikkerhedsloven (den danske implementering af NIS2) forventes i 2. kvartal 2026. Organisationer skal være compliant straks, når loven træder i kraft.
Hvad er bøderne ved manglende overholdelse af NIS2?
Essentielle enheder risikerer bøder på op til €10 millioner eller 2 % af den globale årsomsætning. Væsentlige enheder op til €7 millioner eller 1,4 % af årsomsætningen. Ledelsen kan også blive holdt personligt ansvarlig.
Klar til at spare på software?
SoftVaro forhandler den bedste aftale for dig hos over 4.000 leverandører. Uafhængigt, gennemsigtigt, inden for 24 timer.