Tilsyn (NIS2)

NIS2 indfører et todelt tilsynsregime baseret på typen af enhed. Væsentlige enheder er underlagt proaktivt tilsyn, som myndighederne kan igangsætte uden foranledning. Vigtige enheder er underlagt reaktivt tilsyn, der typisk igangsættes efter en hændelse eller klage.

Tilbage til ordbog

De to tilsynsregimer

NIS2-direktivet skelner klart mellem tilsynet med de to kategorier af organisationer:

**Proaktivt tilsyn (væsentlige enheder):** Myndighederne kan gennemføre inspektioner, revisioner og on-site kontrol af væsentlige enheder uden forudgående hændelse eller klage. Dette svarer til en løbende complianceovervågning.

**Reaktivt tilsyn (vigtige enheder):** Myndighederne igangsætter typisk kun tilsyn med vigtige enheder, hvis der er tegn på manglende overholdelse, en hændelse er rapporteret, eller der er kommet en klage fra en relevant part.

Tilsynsmyndigheder i Danmark

NIS2 kræver, at hvert EU-land udpeger en eller flere kompetente myndigheder. I Danmark er tilsynet fordelt sektorvist:

Center for Cybersikkerhed (CFCS): Overordnet koordinering og national CSIRT-funktion.
Finanstilsynet: Finanssektoren (banker, forsikring, investeringsfonde).
Energistyrelsen: Energisektoren.
Erhvervsstyrelsen: Digital infrastruktur og digitale tjenester.
Sundhedsstyrelsen: Sundhedssektoren.
Trafik-, Bygge- og Boligstyrelsen: Transportsektoren.

Myndighedernes tilsynsbeføjelser

Tilsynsmyndighederne under NIS2 har en bred vifte af beføjelser, herunder:

Ret til at kræve dokumentation og oplysninger fra organisationerne
Ret til at gennemføre on-site inspektioner
Ret til at kræve sikkerhedsrevisioner udført af uafhængige tredjeparter
Ret til at udstede advarsler og påbud
Ret til at idømme administrative bøder
I grove tilfælde: ret til at suspendere en persons ret til at udøve ledelsesopgaver

Forbered dig på tilsyn: Uanset om din organisation er en væsentlig eller vigtig enhed, bør du sikre, at din NIS2-dokumentation er opdateret og tilgængelig. Manglende dokumentation er et rødt flag under tilsynsbesøg.

Ofte stillede spørgsmål om tilsyn (nis2)

Hvad er forskellen på proaktivt og reaktivt tilsyn under NIS2?

Proaktivt tilsyn gælder for væsentlige enheder og betyder, at myndighederne kan gennemføre inspektioner uden foranledning. Reaktivt tilsyn gælder for vigtige enheder og igangsættes typisk kun ved tegn på overtrædelser eller efter en hændelse.

Hvem fører tilsyn med NIS2 i Danmark?

Tilsynet er fordelt på sektorspecifikke myndigheder, bl.a. Center for Cybersikkerhed, Finanstilsynet, Energistyrelsen og Erhvervsstyrelsen. CFCS koordinerer det overordnede nationale billede og er national CSIRT.

Hvilke beføjelser har NIS2-tilsynsmyndighederne?

Myndighederne kan kræve dokumentation, gennemføre on-site inspektioner, kræve uafhængige sikkerhedsrevisioner, udstede advarsler og påbud, idømme administrative bøder og i grove tilfælde suspendere ledelsesmedlemmers funktioner.

Kan vigtige enheder blive udsat for proaktivt tilsyn?

Vigtige enheder er generelt underlagt reaktivt tilsyn. Dog kan myndighederne igangsætte tilsynsforanstaltninger, hvis der er konkrete tegn på manglende overholdelse, selv uden en rapporteret hændelse.

Hvordan bør organisationer forberede sig på NIS2-tilsyn?

Organisationer bør sikre, at deres NIS2-dokumentation er komplet, opdateret og let tilgængelig. Det omfatter risikovurderinger, sikkerhedspolitikker, hændelsesresponsprocedurer og dokumentation for implementerede sikkerhedsforanstaltninger.