Det er, hvad man kalder et rigtig godt spørgsmål. Men det vil være svært at garantere, at det ikke er relevant. Vi vil her forsøge at give en indikation, men kan ikke give det fulde overblik. Helt generelt handler NIS2 om cybersikkerhed i de enheder (virksomheder), som er væsentlige for samfundet. For rådgivende ingeniører vil vi typisk ikke være direkte omfattet, men vi vil blive indirekte omfattet, når vi er leverandører, der leverer digitale ydelser eller ”ydelser af væsentlig betydning for driften eller sikkerheden hos den omfattede virksomhed”.
De virksomheder, som er omfattet direkte af NIS2, er alle de traditionelle infrastrukturtyper men også kommuner, regioner osv. En forkortet oversigt her: energi/forsyning, transport, sundhed, finansielle virksomheder, digital infrastruktur, offentlig forvaltning (herunder kommuner og regioner) men også affaldshåndtering, produktion af kemikalier, fødevarer og så videre. Helt små enheder (under 50 ansatte) er ikke omfattet. Hvis en del af enheden er omfattet, vil hele enheden være omfattet, men ikke absolut med samme krav.
I FRI arbejder vi på at skaffe overblikket over, hvordan de omfattede virksomheder fortolker kravene til leverandører, og hvordan vi kan hjælpe FRI’s medlemmer, så man ikke skal afrapportere på et hav af forskellige måder. Derfor, hvis du er i tvivl, om du kan blive ”ramt” af NIS2, så deltag på vores webinar den 30. oktober. Du kan tilmelde dig nederst på siden her.
Der er tale om et overblik. Hvis du vil vide mere så brug linkene i bunden af artiklen.
Af lovens bilag 1 fremgår følgende særligt kritiske sektorer (de vigtigste):
1) Energi med delsektorerne: a) elektricitet, b) fjernvarme og fjernkøling, c) olie, d) gas og e) brint, 2) transport med delsektorerne: a) Luft, b) jernbane, c) vand og d) vejtransport, 3) bankvirksomhed, 4) finansielle markedsinfrastrukturer, 5) sundhed, 6) drikkevand, 7) spildevand, 8) digital infrastruktur, 9) forvaltning af IKT-tjenester (informations- og kommunikationstjenester) (business to business), 10) offentlig forvaltning og 11) rummet.
Af lovens bilag 2 fremgår følgende kritiske sektorer:
1) Post- og kurertjenester, 2) affaldshåndtering, 3) fremstilling, produktion og distribution af kemikalier, 4) produktion, tilvirkning og distribution af fødevarer, 5) fremstilling med delsektorerne: a) Fremstilling af medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik, b) fremstilling af computere og elektroniske og optiske produkter, c) fremstilling af elektrisk udstyr, d) fremstilling af maskiner og udstyr intet andetsteds nævnt, e) fremstilling af motorkøretøjer, påhængsvogne og sættevogne og f) fremstilling af andre transportmidler, 6) digitale udbydere og 7) forskning
Små virksomheder (direkte omfattet) skal ikke overholde NIS2. Man er dog omfattet hvis man A: mere end 50 ansatte eller B: omsætning og balance på mere end 10 mio. EUR). Fx forventer man, at alle kommuner og regioner bliver omfattet (de leverer sundhed) – og hvis en del er omfattet, så bliver hele enheden omfattet (men skal ikke nødvendigvis leve op til samme krav overalt).
Virksomheder, der ikke er omfattet af NIS 2-loven, kan blive mødt med krav til sikkerhedsforanstaltninger, fordi de leverer tjenester eller varer til en enhed, der er omfattet af NIS 2-loven. Det betyder ikke, at NIS 2-enheder skal stille præcis de samme krav til deres leverandører, som de selv er underlagt, eller at de skal kræve f.eks. en særlig certificering eller revisionserklæring af deres leverandører.
Enheder omfattet af NIS 2 skal vurdere de risici, som den modtagne leverance udgør for den NIS 2-omfattede enheds net- og informationssystemer. Denne vurdering kan medføre, at enheden stiller forholdsmæssige krav til sin leverandør, om at denne implementerer de nødvendige foranstaltninger.
Der er størrelseskrav for de direkte omfattede, men selv om man er lille vil man stadig skulle leve op til NIS2 virksomhedens krav. Men om NIS2-virksomhederne vurderer at rådgiverydelser har en risiko ved vi ikke endnu.
Læs mere om hvem der er omfattet her: NIS 2 | Styrelsen for Samfundssikkerhed
DI har også udarbejdet et omfattende materiale som du kan læse her: NIS2 Guiden - Sådan lever du op til NIS2's krav for cybersikkerhed - DI
De fleste materialer på nettet er dog udarbejdet til de virksomheder, som er direkte omfattede og ikke som rådgivere er indirekte omfattet (leverandør til).