Nyt NIS-direktiv skal sikre højt sikkerhedsniveau

Nyt NIS-direktiv skal sikre højt sikkerhedsniveau for net- og informationssystemer i EU. Den 6. juli vedtog EU-Parlamentet NIS-direktivet (Net- og informationsdirektivet), hvorefter operatører og udbydere af IT-tjenester kan blive underlagt underretningspligt til nationale myndigheder. Direktivet træder i kraft i august 2016, hvorefter medlemslandene har 21 måneder til at implementere det i national ret.
Ud over at fastsætte visse sikkerhedsstandarder indfører direktivet desuden en pligt for operatører af væsentlige tjenester og udbydere af digitale tjenester til at underrette myndighederne om alvorligere sikkerhedshændelser.

Et af hovedformålene med direktivet er at sikre, at operatører af væsentlige tjenester og udbydere af digitale tjenester, som er kritiske leverandører for både staten og de fleste virksomheder, opretholder et tilstrækkeligt IT-sikkerhedsniveau.


OPERATØRER AF VÆSENTLIGE TJENESTER

En operatør af væsentlige tjenester er en leverandør af kritiske tjenester inden for følgende sektorer: energi-, transport-, sundheds- og banksektoren, sektoren for finansielle markedsinfrastrukturer, drikkevandsforsyning og distribution samt digital infrastruktur. Senest den 9. november 2018 skal hver medlemsstat have udarbejdet en liste over dets operatører af væsentlige tjenester.

For at blive udpeget som operatør af væsentlige tjenester skal den pågældende leverandør dels levere en tjeneste, der er væsentlig for opretholdelsen af kritiske samfundsmæssige og/eller økonomiske aktiviteter, dels skal leveringen være afhængig af net- og informationssystemer, og dels skal en eventuel sikkerhedshændelse kunne få væsentlig forstyrrende virkning for leveringen af tjenesten.


UDBYDERE AF DIGITALE TJENESTER

Udbydere af digitale tjenester, dvs. udbydere af onlinemarkedspladser, onlinesøgemaskiner og cloud computing-tjenester, skal i modsætning til operatører af væsentlige tjenester ikke udpeges individuelt af den enkelte medlemsstat.


SIKKERHEDSKRAV

Både operatører af væsentlige tjenester og udbydere af digitale tjenester skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at imødegå de risici, der er forbundet med deres net- og informationssystemer.


UNDERRETNINGSPLIGT

Operatører af væsentlige tjenester er forpligtede til hurtigst muligt at underrette den kompetente myndighed om sikkerhedshændelser, som har væsentlig forstyrrende virkning for kontinuiteten af tjenesten.

For udbydere af digitale tjenester indtræder der en underretningspligt ved ”betydelige” sikkerhedshændelser. Udbydere af digitale tjenester er dog ikke underlagt underretningspligten, hvis udbyderen ikke har adgang til de oplysninger, som er nødvendige for at vurdere en sikkerhedshændelses konsekvenser.

En ”hændelse” er enhver begivenhed, der har egentlig negativ indvirkning på sikkerheden i net- og informationssystemerne, og vurderingen af, om der er tale om ”væsentlig forstyrrende virkning”, skal ske på baggrund af en række fastlagte kriterier, herunder antallet af brugere, som er afhængige af tjenesten, indflydelsen på andre sektorer, operatørens markedsandel og konkrete sektorspecifikke forhold.


TILSYN

Direktivet medfører desuden en forpligtelse for alle medlemsstater til at udpege en eller flere kompetente nationale tilsynsførende myndigheder. Efter en høring af henholdsvis udbyderen eller operatøren om den indberettede hændelse kan den kompetente tilsynsmyndighed offentliggøre information om hændelsen, hvis tilsynsmyndigheden vurderer, at det er nødvendigt i forebyggende henseende. Det forudsættes, at tilsynsmyndigheden foretager en nøje afvejning af offentlighedens interesse i at blive informeret om hændelsen kontra den involverede virksomheds interesse i at undgå kommercielle skadevirkninger.

 


[layerslider id="64"]

---