Bliv klogere på NIS2-reglerne
Dit juridiske NIS2-overblik
Juridisk metode. Gab. De fleste vil give en arm for ikke at skulle forholde sig til det. Dette er dog en underside til en underside hos en udbyder af juridiske løsninger, og du kan kun læse denne tekst ved at folde emnet ud, så ”here we go”:
Juridisk metode er søgen efter sandheden.
Ikke sandheden, som i meningen med livet, men sandheden i en retsstat.
Retsstater, som eksempelvis Danmark og sammenslutninger af retsstater, som eksempelvis EU, er nemlig bygget op af regler.
”Med lov skal land bygges”, som det så fint står skrevet i Jyske Lov fra 1241.
Det vil på moderne Dansk sige, at hvis man vil have sandheden om, hvad man må og skal, eller gerne vil have ret i sit verdensforståelse, ja, så må man til lovteksterne.
Lovteksterne er den del af det, der også kaldes ”retskilder”. Altså kilderne til retten.
Juridisk metode, er en disciplin der kort fortalt handler om at finde tekster, som kan bruges til at forstå, hvad der er gældende ret.
Noget af det vigtigste er at sikre sig, at teksten kommer fra en pålidelig kilde. De pålidelige kilder, kaldes almindeligvis ”retskilder”. Fordi der er flere forskellige typer retskilder, er der etableret et hierarki. ”Retskildehierarkiet”.
Her på siden kan du blive klogere på de forskellige retskilder og deres indbyrdes prioritering.
For en god ordens skyld, har vi også inkluderes en del myndighedsvejledninger. De er ikke retskilder, men kan bidrage til fortolkningen af reglerne, uden dog at være definerende for, hvad der er gældende ret.
I NIS2-sammenhæng har NIS2-direktivet almindeligvis den højeste retskildemæssige værdi. Det vil derfor altid være hér man starter sin søgen efter, hvad der er gældende ret.
Du finder den officielle tekst via linket nedenfor. Reglerne er udtrykt som artikler og de starter på side 29.
Næst efter selve direktivteksten følger forarbejderne. De bliver kaldt ”præambelbetragtninger” og udtryk for lovgivers overvejelser. I forarbejderne kan man typisk finde svar på, hvad formålet med reglerne er.
Forarbejderne bliver almindeligvis anvendt af domstolene til, at få bedre forståelse af gældende ret. Forarbejderne starter på side et og er kendetegnet ved, at der er parenteser omkring tallene. Du finder den officielle tekst hér:
Da NIS2 er et direktiv, vil reglerne blive indskrevet i dansk ret i form af eksempelvis love. De danske regler supplerer EU-reglerne, men må hverken fortolkes eller anvendes i strid med EU-reglerne.
De danske regler, der implementerer NIS2-lovene kan tilgåes via linket:
NIS2-lovene står ikke alene i dansk ret, og de er således suppleret af en række bekendtgørelser. Der er tale om specialregler, som eksempelvis regulerer forsyningssektoren, sundhedssektoren og transportsektoren.
Du kan tilgå bekendtgørelserne via linket:
Efter direktivteksten og forarbejderne kommer EU-Domstolens afgørelser.
Da reglerne endnu ikke er trådt i kraft, er der dog ingen afgørelser endnu.
Når der engang bliver truffet afgørelser, vil de være at finde i EU’s officielle domsdatabase, der er tilgængelig via linket:
Er man rigtig nørdet, og det er der jo folk, som er. Så vil man ikke nøjes med de endelige afgørelser.
I så fald kan det give mening at kigge på General Advokatens forslag til afgørelse.
Er der truffet endelig afgørelse, kan det være interessant at se på, om den adskiller sig fra forslaget til afgørelse. Er der ikke truffet endelig afgørelse, kan forslaget til afgørelse give en indikation af, hvad udfaldet af den endelig afgørelse vil være. Der er dog endnu ikke truffet nogle afgørelser på basis af NIS2, men når de kommer, vil de være at finde via linket:
I Danmark har vi heldigvis også en række domstole, der kan dømme efter informationssikkerhedsreglerne.
Det er i den sammenhæng vigtigt, at huske at Højesterets domme vejer tungest, efter fulgt af landsretterne og til sidst byretterne.
Der er p.t. Ingen domme vedrørende NIS2-reglerne, men de vil være tilgængelige via linket, når de kommer:
Alle kendte retskilder er nu udtømt, men du har stadig spørgsmål til gældende ret.
I sådanne tilfælde, kan det være en hjælp at kigge ind i forskellige myndighedsvejledninger. De er ganske vist ikke udtryk for gældende ret, men hvis de er skrevet godt, henviser de til de bagvedliggende regler.
Et godt sted at orientere sig vil være hos Den Europæiske Unions Agentur for Cybersikkerhed. EU-organet er leveringsdygtigt på både generelle og sektorspecifikke vejledninger og risikovurderinger. Deres materiale kan tilgåes via linket:
Om ENISA — Den Europæiske Unions Agentur for Cybersikkerhed — ENISA (europa.eu)
Det skal i den sammenhæng nævnes, at selvom det meste materiale udspringer af de eksisterende NIS-regler, så vil det også kunne anvendes i NIS2-arbejdet, da den praktiske implementering er nogenlunde ens.
Alle kendte retskilder er nu udtømt, men du har stadig spørgsmål til gældende ret. Du har orienteret dig i Den Europæiske Unions Argentur for Cybersikkerheds materiale, men uden held. I sådanne tilfælde kan man orientere sig i de danske myndigheders materiale.
Der er dog ikke udarbejdet NIS2-materiale endnu, men vi linker til det, når det er tilgængeligt.
NIS versus NIS2.
Kort fortalt er der flere aktører, som bliver påvirket af de NIS2 end af NIS.
Formålene med reguleringen er ens, nemlig at sikre et velfungerende indre marked i EU ved at etablere et højt fælles cybersikkerhedsniveau.
I praksis betyder det bare, at de organisationer, som allerede var omfattet af NIS, må forventes at være meget tæt på allerede at overholde NIS2.