NIS2 trådte i kraft i januar 2023. Det betyder, at Danmark og andre EU-lande har indtil den 18. oktober 2024 til at implementere direktivet i nationale love.

Vi kender derfor ikke de danske krav endnu, men den europæiske lovramme indeholder alligevel nogle pejlemærker. Der er f.eks. flere organisationer, som skal overholde NIS 2 sammenlignet med NIS-loven, og vi forventer blandt andet krav om at sikre:
‍

• Politikker for risikoanalyse og informationssystemsikkerhed
• Håndtering af hændelser
• Driftskontinuitet og krisestyring
• Forsyningskædesikkerhed
• Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
• Politikker og procedurer til vurdering af effektiviteten af foranstaltninger
• Grundlæggende praksisser for cyberhygiejne og cybersikkerhedsuddannelse
• Politikker og procedurer ved brug af kryptografi og kryptering
• Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
• Multifaktor eller kontinuerlig autentificering, herunder leverandørstyring/-sikkerhed" ud for forsyningskædesikkerhed

Analyser peger på, at budgettet til cybersikkerhed gennemsnitligt skal udvides med 12-22% i løbet af 3-4 år for at overholde NIS2, men at det samlet set vil medføre store besparelser, fordi antallet og omfanget af it-hændelser nedbringes.

NIS2 indeholder en maksimal bøderamme på 10 mio. EUR eller 2% af den globale koncernomsætning, selvom den faktiske bødeudmåling kan afhænge af lokal domstolspraksis.