Hvad er NIS2?
NIS2 står for “Network and Information Security Directive 2”. Direktivet er en opdatering af EU’s direktiv fra 2016 om net- og informationssikkerhed. Formålet med NIS2 er at styrke cyber- og informationssikkerheden i Europa ved at skabe ensartede regler for virksomheder og organisationer, der leverer kritiske tjenester. NIS2-direktivet stiller blandt andet skærpede krav til leverandørstyring, hændelsesrapportering og sikkerhedsaudits i IT-kontrakter og kommunerne er omfattet af direktivet.
Hvornår træder NIS2-direktivet i kraft?
Den danske implementering af NIS2-direktivet forventes at træde i kraft fra 1. juli 2025.
Hvilke udfordringer kan NIS2-direktivets krav til IT-kontraktstyring medføre for jer?
Kommunerne spiller en afgørende rolle i samfundets kritiske infrastruktur – fra IT-drift og digital borgerbetjening til vandforsyning, affaldshåndtering og hjemmepleje og netop derfor er kommunerne også blevet topmål for cyberangreb gennem deres IT-leverandører og forsyningskæde. De skærpede krav til IT kontraktstyring kan gå hen og blive en stor udfordring for kommunerne.
Mange kommuner har ikke de relevante kompetencer i huset og der bliver højst sandsynligt rift om IT Contract Management og compliance ressourcer nu, hvor den danske lov træder i kraft.
Hvad kan konsekvensen være, hvis I ikke overholder NIS2-direktivet?
For det første er der en øget risiko for at blive udsat for et cyberattack og alt hvad det medfører. For det andet kan en kommune blive idømt bøder og forskellige typer af påbud, instrukser og offentliggørelse af afgørelser, hvis den ikke lever op til NIS2-loven.
Det danske lovforslag indeholder ikke konkrete bødestørrelser, men NIS2 direktivet angiver et niveau på omkring 7-10 mio. Euro eller 2% af omsætningen, så det kan tænkes, at en dommer vil skele til dette i en konkret sag.
Hvad kan I gøre for at sikre, at jeres IT-kontraktstyring overholder NIS2-direktivet?
Hos Contractus er vi specialister i at styrke vores kunder gennem skræddersyede kontraktstyringsløsninger, der skaber reel værdi og som lever op til kravene i NIS2.
Vi kan blandt andet bistå med:
- • Analyse af jeres IT kontrakter for at vurdere, hvilke der er omfattet af NIS2.
- • Udarbejdelse og gennemgang af IT-kontrakter, så de indeholder krav til cybersikkerhed, hændelsesrapportering og compliance.
- • Inklusion af krav til adgangsstyring, databeskyttelse og risikostyring i leverandøraftaler.
- • Sikring af klare forpligtelser til leverandører, herunder krav om audits, sårbarhedsscanninger og sikkerhedsopdateringer.
- • Udarbejdelse af exit-strategier, så I ikke låses fast i usikre leverandøraftaler.
- • Forhandling med leverandørerne, såfremt der er behov for ændringer til eksisterende kontrakter for at overholde NIS2 reguleringen.
Book et møde med os i dag for en uforpligtende samtale om, hvordan vi kan hjælpe jer med at overholde NIS2.
