Europæiske organisationer står over for nye cybersikkerhedskrav som følge af EU’s lovgivning på dette område: NIS 2-direktivet og DORA. Almene boligorganisationer er formentlig ikke omfattet, men reglerne er endnu ikke implementeret i dansk ret.
BL Informerer nr.2423
Nye regler om øget cybersikkerhed på vej - NIS 2 og DORA
Oprettet: torsdag den 16. november 2023
Opdateret: fredag den 16. august 2024
Sideansvarlig: Sanne Steen Petersen
Det oprindelige NIS-direktiv fra 2018 var første spadestik i kampen mod cybertrusler med henblik på at øge det overordnede cybersikkerhedsniveau i EU. Direktivet pålagde særlige sektorer og offentlige myndigheder at vedtage hensigtsmæssige foranstaltninger til styring af cybersikkerhedsrisici. Direktivet er nu revideret for at sikre forbedring af cybersikkerheden og udvides til at omfatte flere. Desuden er der en ny forordning, der stiller krav til finansielle enheder.
Det ser ikke ud til, at de almene boligorganisationer og administrationsselskaber bliver omfattet af hverken NIS 2 eller DORA i deres nuværende form, men det kan ændres i de danske implementeringslovgivninger, som vil fastsætte det endelige anvendelsesområde i Danmark.
BL følger med i udviklingen og vil sørge for at opdatere, særligt når danske implementeringslovforslag fremsættes til lovbehandling i begyndelsen af næste år (ultimo februar 2024). I den forbindelse vil BL invitere til et webinar om digital sikkerhed og compliance.
NIS 2-direktivet
NIS 2-direktivet (NIS står for ”Network and Information Systems”) får virkning den 18. oktober 2024 og sigter mod at forbedre cybersikkerheden på tværs af EU ved at fokusere på organisationer, der leverer essentielle og vigtige samfundstjenester. Direktivet indfører sikkerhedskrav, rapporteringsforpligtelser og udvidede håndhævelsesforanstaltninger. Omfattet af direktivet er bl.a. offentlig forvaltning, sundhed, transport, energi og anden infrastruktur samt en række digitale tjenesteydere mv.
DORA
DORA (”Digital Operational Resilience Act”) er en forordning, som får virkning den 17. januar 2025 og stiller krav om robust risikostyring, klassificering og rapportering af IT-hændelser, modstandsdygtighedstest af digital drift og håndtering af risici relateret til tredjepart IT-tjenesteudbydere for finansielle enheder. Omfattet af DORA er bl.a. traditionelle finansielle organisationer som banker, kreditinstitutter, forsikring og investeringsselskaber.
Begge regelsæt fokuserer på forskellige sektorer, hvis informationssikkerhed er kritisk for samfundet. Der er ingen omtale af almene boligselskaber og administrationsselskaber i hverken NIS 2 eller DORA. Derfor ser det på nuværende tidspunkt ikke umiddelbart ud til, at almene boligselskaber og administrationsselskaber vil blive omfattet af regelsættene, men det kan altså ikke udelukkes, før den nationale lovgivning er endelig fastsat og vedtaget.
Med venlig hilsen
Bent Madsen / Sanne Steen Petersen
