FAQ
Her kan du finde spørgsmål og svar omkring tilsyn med NIS 2 leverandører.
FAQ om NIS 2 tilsyn
NIS 2-loven er den danske implementering af EU-direktiv (EU) 2022/2555, vedrørende cybersikkerhed og modstandsdygtighed over for cybertrusler på tværs af EU. Loven er rettet mod sektorer og offentlige myndigheder, som anses for at være kritiske for samfundssikkerheden og økonomien.
NIS 2-loven fastsætter derved en række krav til styringen af cyber- og informationssikkerheden, som de omfattede enheder skal overholde. En af de offentlige myndigheder, som er omfattet af NIS 2, er kommunerne, som derfor skal overholde de krav, som loven foreskriver.
Selvom jeres virksomhed ikke er omfattet NIS 2 som en selvstændighed enhed, så bliver jeres virksomhed alligevel påvirket af lovgivningen, hvis der leveres tjenester til en enhed, som er omfattet. Dette fremgår også på SAMSIKs egen FAQ vedrørende NIS 2. DBS har registreret, at din virksomhed leverer tjenester eller varer til en af vores medlemskommuner, og derfor bliver NIS 2-kravene også relevante for jeres virksomhed.
Et af kravene i NIS 2-lovgivningen er, at de omfattede enheder skal tage hensyn til forsyningskædesikkerheden i sit sikkerhedsarbejde. Det betyder, at en omfattet enhed skal foretage en vurdering af sikkerheden i forholdet mellem dem selv og deres leverandører, for at sikre, at cybersikkerheden ikke bliver kompromitteret gennem forsyningskæden. Derfor kan en omfattet enhed stille krav om, at deres leverandører skal have en række foranstaltninger, for at forhindre eventuelle cyberrisici i leverandørkæden. Dette gøres ud fra en risikobaseret tilgang.
Det betyder også, at DBS ikke fører tilsyn med jeres virksomhed som NIS 2-omfattet enhed, men i stedet som leverandør til en NIS 2-omfattet enhed. Alle leverandører er omfattet af NIS 2, når de leverer tjenester til kommunerne, men kravene kan variere, alt efter kritikaliteten af den ydelse, som leveres. I kan læse mere vedrørende SAMSIKs vejledning vedrørende implementering af cybersikkerhedsforanstaltninger.
Hvis jeres virksomhed er omfattet af NIS 2, så skal I selvstændigt overholde NIS 2-kravene. SAMSIK fører tilsyn med jeres virksomhed i denne rolle.
DBS fører tilsyn på vegne af kommunerne, som I er leverandører til. Et af kravene i NIS 2-lovgivningen er, at de omfattede enheder skal tage hensyn til forsyningskædesikkerheden i sit sikkerhedsarbejde. Det betyder, at en omfattet enhed skal foretage en vurdering af sikkerheden i forholdet mellem dem selv og deres leverandører, for at sikre, at cybersikkerheden ikke bliver kompromitteret gennem forsyningskæden.
Alle leverandører er omfattet af NIS 2, når de leverer tjenester til kommunerne, men kravene kan variere, alt efter kritikaliteten af den ydelse, som leveres.
NIS 2-loven er trådt i kraft, og skal derfor allerede nu overholdes af de omfattede enheder. Derfor skal de foranstaltninger, som loven stille krav om, allerede overholdes nu. Det betyder også, at leverandørkædesikkerheden skal være sikret, selvom der ikke ligger en konkret aftale med specifikke krav endnu.
Hvis ikke jeres virksomhed er blevet pålagt specifikke krav af kommunerne vedrørende NIS 2 endnu, så vil DBS’ tilsyn tage udgangspunkt i den vejledning, som SAMSIK har udarbejdet vedrørende NIS 2-kravene.