Nyt direktiv om net- og informationssikkerhed

Et direktiv om net- og informationssikkerhed blev den 6. juli 2016 stemt igennem i EU-parlamentet. Direktivet stiller bl.a. krav til visse typer virksomheders sikkerhed og indfører en pligt til at underrette myndighederne om alvorligere sikkerhedshændelser.


Operatører af væsentlige tjenester og udbydere af digitale tjenester

Direktivet finder anvendelse på operatører af væsentlige tjenester (OVT) og udbydere af digitale tjenester (UDT). OVT’er udpeges af medlemsstaterne og udgør de leverandører af kritiske tjenester inden for udtømmende opregnede sektorer (energi, transport, bank, finansielle markedsinfrastrukturer, sundhedssektoren, drikkevandsforsyning og distribution, og digital infrastruktur). UDT’er er alle de tjenester, der falder inden for kategorierne online markedspladser, online søgemaskiner og cloud computing-tjenester. Modsat OVT’er udpeges UDT’er ikke af medlemsstaten.

UDT’er, der kategoriseres som små eller mikrovirksomheder, er undtaget fra direktivets krav. Derfor finder direktivet kun anvendelse på de UDT’er, der beskæftiger 50 eller flere personer og har en årlig omsætning og/eller samlet årlig balance på mere end 10 millioner EUR.

Direktivet stiller krav til sikkerheden

Alle OVT’er og UDT’er underlægges generelt formulerede krav om at indføre organiseret informationssikkerhedsarbejde – både i teknisk og organisatorisk forstand – for at styre risiciene relateret til deres systemer. Der stilles konkret krav om, at virksomhederne skal træffe foranstaltninger for at forebygge og minimere konsekvensen af hændelser, således at kontinuiteten i tjenesten sikres.

Underretningspligt

Både OVT’er og UDT’er forpligtes til hurtigst muligt at underrette den nationale kompetente myndighed om sikkerhedshændelser, der har væsentlige (OVT) eller betydelige (UDT) konsekvenser for kontinuiteten af tjenesterne.

Offentliggørelse af konkrete hændelser

Myndighederne kan under visse omstændigheder vælge at oplyse offentligheden om en konkret hændelse. Dette sker efter høring af den underrettende OVT eller UDT. Der er bredere mulighed for offentliggørelse af konkrete hændelser hos UDT’er end hos OVT’er.

Tilsyn

Direktivet stiller endvidere krav om, at en af medlemsstaten udpeget myndighed, fører tilsyn med hvorvidt OVT’er opfylder deres forpligtelser relateret til sikkerhed og underretning. Dette indebærer, at tilsynsmyndigheden kan kræve udlevering af relevante oplysninger fx sikkerhedspolitikker samt dokumentation for faktisk gennemførelse af sikkerhedspolitikker. Hvis sikkerheden vurderes at være mangelfuld, kan tilsynsmyndigheden udstede påbud til OVT’en for at afhjælpe manglerne.

Tilsynsmyndighedens kompetence er snævrere i forhold til UDT’er. Her kan tilsynsmyndigheden kun reagere efterfølgende, hvis der foreligger dokumentation for manglende overholdelse af sikkerheds- og underretningspligterne.

Ikrafttrædelse

Direktivet træder i kraft på den tyvende dag efter dets offentliggørelse i Den Europæiske Unions Tidende, hvorefter medlemsstaterne har 21 måneder til at implementere direktivet.

 

 

Læs flere nyheder her

Artiklen er forfattet af: