Nyhed, 17.september 2024

NIS2-nyt: Nu skal cyberregler for fødevirksomheder defineres

Hovedloven som skal implementere NIS2 har været i høring. De konkrete krav vil blive beskrevet sektorvis i kommende bekendtgørelse. L&F inviterer til at bidrage

Faktaboks

Væsentlige enheder:

Af lovforslagets bilag 2 fremgår sektorerne:

1) transport med delsektorerne: a) luft, b) jernbane, c) vand og d) vejtransport,

2) sundhed,

3) drikkevand,

4) spildevand,

5) digital infrastruktur,

6) forvaltning af IKT-tjenester (informations- og kommunikationstjenester) (business to business),

7) offentlig forvaltning og

8) rummet.

Vigtige enheder

Af lovforslagets bilag 3 fremgår følgende sektorer:

1) post- og kurertjenester,

2) affaldshåndtering,

3) fremstilling, produktion og distribution af kemikalier,

4) produktion, tilvirkning og distribution af fødevarer,

5) fremstilling med delsektorerne: a) Fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik, b) fremstilling af computere og elektroniske og optiske produkter, c) fremstilling af elektrisk udstyr, d) fremstilling af maskiner og udstyr intet andetsteds nævnt, e) fremstilling af motorkøretøjer, påhængsvogne og sættevogne og f) fremstilling af andre transportmidler,

6) digitale udbydere og

7) forskning

Med NIS2 indføres en række nye krav til omfattede virksomheder og myndigheder. NIS2-direktivet har til formål at styrke og ensarte cybersikkerheden samt modstandsdygtigheden overfor cybertrusler på tværs af EU. Direktivet gælder for virksomheder inden for en lang række sektorer og for offentlige myndigheder, som anses for at være samfundskritik, og stiller bl.a. krav om gennemførelse af cybersikkerhedsforanstaltninger, hændelsesrapportering samt giver styrkede tilsyns- og håndhævelsesbeføjelser.

Konkrete krav tilpasset sektorer

Der er lagt op til, at NIS2-direktivet minimumsimplementeres i Danmark. Implementeringen sker ved en hovedlov, som skaber en fælles grundlæggende ramme for implementeringen af NIS2 på tværs af sektorer, og hovedloven bemyndiger ressortministerierne (de sektoransvarlige myndigheder) til at konkretisere NIS2-kravene i bekendtgørelser.

Dermed udestår et arbejde i den kommende tid med at få lavet rammerne for krav, tilsyn og sanktioner mv. i de enkelte sektorer – og ikke mindst koordinerer på tværs.

Landbrug & Fødevarer vil i den forbindelse gerne invitere medlemmer til at tage del i processen og bidrage med viden og feedback, vi kan spille ind til myndighederne, så de endelige regler harmonerer bedst muligt med hverdagen og virkeligheden i fødevaresektoren. Kontakt chefkonsulent Kathrine Blæsbjerg Sørensen på kbs@lf.dk, hvis du og din virksomhed ønsker at blive holdt orienteret og eller bidrage med input.

Sanktioner og pligter

NIS2-direktivet indeholder nogle sanktionsmuligheder både ift. forretning og ledelsen og det lovforslag der netop har været i høring, har givet øget klarhed på nogle områder.

Fx er det i lovforslaget specificeret, at det ”kun” er øverste leder, der kan holdes til ansvar, og ikke hele øverste ledelse som tidligere beskrevet i dansk sammenhæng. I relation til ledelsen er det et krav, at medlemmer af ledelsesorganet deltager i kurser om styring af cybersikkerhedsrisiko. Der vil også kunne sanktioneres via midlertidig suspendering af certificeringer og godkendelser. Dette fastlægges nærmere for de enkelte sektorer.

Der er registreringspligt for virksomheder omfattet af NIS2. Det skal foretages senest 17. april 2025 og forventes at ville skulle ske på Virk.dk.

Loven og de kommende sektorbekendtgørelser træder i kraft den 1. marts 2025.

Hvem er omfattet

Hvorvidt en virksomhed er omfattet af reglerne, afhænger bl.a. af størrelse. Som udgangspunkt er mikro og små virksomheder undtaget – dog med undtagelser.

Se evt. nærmere her

Der sondres mellem hvorvidt virksomhederne er ”væsentlige enheder” og ”vigtige enheder”. Virksomheder der beskæftiger sig med ”produktion, tilvirkning og distribution af fødevarer” vil typisk være defineret som ”vigtig enhed” – dog kan undtagelser forekomme. Forskellen er mest tydelig ift. tilsyn, hvor der for sidstnævnte vil være ”reaktivt tilsyn” – dvs. kun tilsyn, hvis der opstår en grund, mens ”væsentlige enheder” får regelmæssige tilsyn.

Se faktaboks længere ned, for den overordnede sondring mellem ”væsentlige enheder” og ”vigtige enheder”

Vigtige datoer:

Oktober 2024 – lov vedtages senest

1. marts 2025 – Lov og bekendtgørelser træder i kraft

17. april 2025 – deadline for registrering af væsentlige og vigtige enheder.