Det europæiske agentur for cybersikkerhed, ENISA, har lanceret en opdateret international strategi, der skal ruste EU mod det grænseløse trusselsbillede i det digitale landskab. Formålet er at hæve det fælles sikkerhedsniveau i Unionen gennem strategiske partnerskaber med lande uden for EU, herunder USA, Ukraine og landene på det Vestlige Balkan.
Strategiske samarbejdsformer
Strategien opererer med tre forskellige niveauer for internationalt engagement, afhængigt af ressourceforbrug og strategisk værdi:
Tilgang
Beskrivelse
Ressourceindsats
Begrænset
Ad-hoc udveksling af informationer og fremme af EU's værdier ved konferencer.
Minimale omkostninger (rejser/møder).
Assisterende
Støtte til medlemsstater og tredjelande med eksisterende EU-aftaler via ekspertise og træning.
Ressourcer afsat i det årlige arbejdsprogram (SPD).
Opsøgende
Proaktivt engagement med nøglepartnere for at fremme specifikke strategiske mål.
Dedikerede ressourcer i arbejdsprogrammet.
Fokusområder og nøglepartnere
ENISA's internationale indsats er centreret omkring partnere, der deler EU's værdier og har strategiske økonomiske forbindelser til Unionen. Aktuelle prioriteter inkluderer:
Ukraine og USA: Skræddersyede arbejdsaftaler med fokus på kapacitetsopbygning og vidensdeling.
Vestbalkan: Fra 2026 vil ENISA udrulle specifikke rammeværktøjer, herunder sammenlignelige cyber-indekser og træningsmoduler til kandidatlande.
Moldova: Operationalisering af EU Cybersecurity Reserve (etableret via EU Cyber Solidarity Act 2025) for lande tilknyttet programmet for et digitalt Europa.
G7: Teknisk bistand og ekspertise til G7-arbejdsgruppen for cybersikkerhed.
ENISA's eksekutivdirektør, Juhan Lepassaar, understreger vigtigheden af det globale udsyn:
"Internationalt samarbejde er essentielt inden for cybersikkerhed. Det supplerer og styrker ENISA's kerneopgaver med at opnå et højt fælles cybersikkerhedsniveau på tværs af Unionen. ENISA er fuldt ud parat til at samarbejde på den globale scene for at støtte EU's medlemsstater i dette arbejde."
Strategiske målsætninger
Den opdaterede strategi følger retningslinjerne i Cybersecurity Act (CSA)1 og fokuserer på at integrere cybersikkerhed som en naturlig del af EU's politikker. Dette inkluderer blandt andet:
Operativt samarbejde: Opbygning af et netværk af ligesindede internationale partnere og globale leverandører til krisehåndtering ved massive cyberhændelser.
Standardisering: Overvågning af international udvikling inden for certificering for at fremme europæisk digital autonomi.
Vidensledelse: Udveksling af ekspertise med organisationer som OECD og NATO2 for at udvikle benchmarks for cybersikkerhed.
Lovforslaget om foranstaltninger til sikring af et højt cybersikkerhedsniveau, også kendt som NIS 2-loven, har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-direktivet) i dansk ret. Loven skal sikre et højt fælles cybersikkerhedsniveau i en bred vifte af offentlige og private sektorer i Danmark. Den finder anvendelse på enheder inden for sektorer af særlig kritisk betydning (Bilag 1) og andre kritiske sektorer (Bilag 2), men undtager enheder, der allerede er omfattet af særlovgivning for tele-, energi- og finanssektorerne, eller hvor sektorspecifikke EU-retsakter har tilsvarende virkning. Loven er udformet med en minimumsimplementering i overensstemmelse med regeringens principper for erhvervsrettet EU-regulering.
ENISA og Ukraine indgår historisk aftale om at dele viden og styrke det digitale forsvar mod russiske cyberangreb.
EU consistently targeted by diverse yet convergent threat groups
Den seneste rapport fra EU's agentur for cybersikkerhed afslører en bølge af ideologisk motiverede angreb og stigende brug af kunstig intelligens i cyberkriminalitet.
Call for Feedback: Advancing Software Supply Chain Security together!
EU's agentur for cybersikkerhed lancerer offentlige høringer om Software Bill of Materials (SBOM) og sikker brug af pakkemanagers.
What’s Driving Cybersecurity Investments and where lie the challenges?
ENISA’s årlige statusrapport viser, at compliance er den vigtigste drivkraft for investeringer, mens mangel på it-specialister fortsat udgør en barriere.
ENISA to Walk the Walk as EU Agencies Network Coordinator
Fra marts 2025 overtager ENISA formandskabet for EU Agencies Network (EUAN) for at styrke samarbejdet og sikkerheden i EU's organisationer.
Anvendelsesområde og definitioner
Anvendelsesområde (§ 1): Loven gælder for offentlige og private enheder, der er opført i lovens bilag 1 og 2. Undtagelser omfatter enheder, der er dækket af lov om styrket beredskab i energisektoren, lov om sikkerhed og beredskab i telesektoren, eller lov om finansiel virksomhed. Loven finder heller ikke anvendelse, hvis sektorspecifikke EU-retsakter har mindst samme virkning som lovens bestemmelser om cybersikkerhedsforanstaltninger og underretningspligter. Vedkommende minister kan undtage specifikke enheder, der udfører aktiviteter inden for national sikkerhed, offentlig sikkerhed, forsvar eller retshåndhævelse, eller som udelukkende leverer tjenester til offentlige forvaltningsenheder, der udfører disse aktiviteter. Loven kan desuden udvides til at omfatte offentlige forvaltningsenheder på lokalt plan og uddannelsesinstitutioner.
Jurisdiktion (§ 2): Enheder etableret i Danmark er under dansk jurisdiktion. For DNS-tjenesteudbydere, topdomænenavneadministratorer, domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) er jurisdiktionen baseret på hovedforretningsstedet i EU, defineret som det sted, hvor beslutninger om cybersikkerhedsrisici overvejende træffes. Ikke-EU-baserede enheder, der udbyder tjenester i Unionen, skal udpege en repræsentant i en medlemsstat.
Definitioner (§ 3): Loven definerer centrale begreber som "Centralt kontaktpunkt", "Cloudcomputingtjeneste", "Cybersikkerhed", "Hændelse", "Net- og informationssystem", "Væsentlig cybertrussel" og mange flere, der er afgørende for lovens fortolkning og anvendelse.
Væsentlige enheder (§ 4): Enheder af en type omfattet af bilag 1 anses som væsentlige, hvis de beskæftiger mere end 250 personer eller har en årlig omsætning på over 50 mio. EUR og en årlig samlet balance på over 43 mio. EUR. Kommuner og regioner, der udbyder offentlige elektroniske kommunikationsnet eller -tjenester med kommercielt formål, kan også være væsentlige under visse størrelseskriterier. Visse enheder, som kvalificerede tillidstjenesteudbydere, topdomænenavneadministratorer, DNS-tjenesteudbydere, centrale offentlige forvaltningsenheder, kritiske enheder under CER-loven og tidligere NIS 1-operatører af væsentlige tjenester, anses altid for væsentlige uanset størrelse. Andre enheder kan også anses for væsentlige, hvis de er eneste udbyder af en kritisk tjeneste, forstyrrelse kan påvirke offentlig sikkerhed/sundhed, medføre systemisk risiko eller er kritisk på nationalt/regionalt plan.
Vigtige enheder (§ 5): Enheder af en type omfattet af bilag 1 eller 2, der ikke opfylder kriterierne for væsentlige enheder, men beskæftiger mere end 50 personer eller har en årlig omsætning på over 10 mio. EUR og en årlig samlet balance på over 10 mio. EUR, anses for vigtige. Den kompetente myndighed kan i særlige tilfælde beslutte, at en enhed, der ellers ville være væsentlig, skal anses for vigtig.
Foranstaltninger til styring af cybersikkerhedsrisici
Krav til foranstaltninger (§ 6): Væsentlige og vigtige enheder skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre cybersikkerhedsrisici og forhindre hændelser. Disse foranstaltninger skal som minimum omfatte:
Politikker for risikoanalyse og informationssystemsikkerhed.
Håndtering af hændelser.
Driftskontinuitet, herunder backup-styring, reetablering efter katastrofer og krisestyring.
Forsyningskædesikkerhed, med fokus på sikkerhedsrelaterede aspekter vedrørende direkte leverandører og tjenesteudbydere.
Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder.
Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
Politikker og procedurer vedrørende brug af kryptografi og kryptering.
Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer.
Enheder, der ikke overholder disse krav, skal uden unødigt ophold træffe korrigerende foranstaltninger. Vedkommende minister kan fastsætte nærmere regler om disse foranstaltninger.
Ledelsens ansvar (§ 7): Enhedens ledelsesorgan skal godkende og føre tilsyn med implementeringen af cybersikkerhedsforanstaltningerne. Medlemmer af ledelsesorganet skal deltage i relevante kurser om styring af cybersikkerhedsrisici og tilskynde til tilsvarende kurser for øvrige ansatte.
Certificering af IKT-produkter (§ 8): Vedkommende minister kan fastsætte regler om, at væsentlige og vigtige enheder skal anvende særlige IKT-produkter, -tjenester og -processer, der er certificeret i henhold til en europæisk cybersikkerhedscertificeringsordning.
Registrerings- og underretningspligter
Registreringspligt for visse digitale udbydere (§ 9): DNS-tjenesteudbydere, topdomænenavneadministratorer, enheder der leverer domænenavnsregistreringstjenester og udbydere af visse digitale tjenester (f.eks. cloud, datacentre, onlinemarkedspladser) skal registrere sig hos den relevante kompetente myndighed med oplysninger om navn, adresse, sektor, kontaktoplysninger og de medlemsstater, hvor tjenester leveres. Registrering skal ske senest tre måneder efter, at enheden omfattes af loven, og ændringer skal meddeles inden for tre måneder.
Registreringspligt for væsentlige og vigtige enheder (§ 10): Væsentlige og vigtige enheder samt enheder, der leverer domænenavnsregistreringstjenester, skal registrere sig hos den relevante kompetente myndighed med lignende oplysninger som nævnt i § 9. Registrering skal ske senest to uger efter, at enheden omfattes af loven, og ændringer skal meddeles inden for to uger.
Database over domænenavnsregistreringsdata (§ 11): Topdomænenavneadministratorer og enheder, der leverer domænenavnsregistreringstjenester, skal føre en særskilt database med nøjagtige og fuldstændige domænenavnsregistreringsdata, herunder domænenavn, registreringsdato, registrantens navn, e-mail og telefonnummer. De skal indføre og offentliggøre politikker og procedurer for at sikre datanøjagtighed og for at give legitime adgangssøgende adgang til specifikke data, herunder personoplysninger, inden for 72 timer efter anmodning. Ikke-personoplysninger skal gøres offentligt tilgængelige uden unødigt ophold.
Underretningspligter ved væsentlige hændelser (§ 12): Væsentlige og vigtige enheder skal underrette den relevante kompetente myndighed og CSIRT om enhver væsentlig hændelse. En hændelse anses for væsentlig, hvis den forårsager alvorlige driftsforstyrrelser eller økonomiske tab for enheden, eller hvis den påvirker andre fysiske eller juridiske personer med betydelig fysisk eller ikke-fysisk skade. Vedkommende minister kan fastsætte nærmere kriterier for, hvornår en hændelse er væsentlig.
Procedure for underretning (§ 13): Underretning af væsentlige hændelser skal ske i flere trin:
Tidlig varsling: Senest 24 timer efter kendskab til hændelsen, med angivelse af mistanke om ulovlige/ondsindede handlinger eller grænseoverskridende virkning.
Hændelsesunderretning: Senest 72 timer efter kendskab, med ajourførte oplysninger og indledende vurdering af alvor og indvirkning. For tillidstjenesteudbydere er fristen 24 timer.
Foreløbig rapport: Efter anmodning fra CSIRT.
Endelig rapport: Senest én måned efter hændelsesunderretningen, med detaljeret beskrivelse, trusselstype, afbødende foranstaltninger og grænseoverskridende virkninger. Hvis hændelsen fortsat pågår, skal en statusrapport indsendes, og den endelige rapport følger senest en måned efter hændelsen er håndteret. CSIRT skal give svar og indledende tilbagemeldinger inden for 24 timer efter modtagelse af den tidlige varsling og yde vejledning og teknisk bistand efter anmodning.
Frivillige underretninger (§ 14): Offentlige og private enheder, uanset om de er omfattet af loven, kan frivilligt underrette CSIRT om hændelser, nærvedhændelser og cybertrusler. Disse underretninger behandles på samme måde som obligatoriske, men CSIRT kan prioritere de obligatoriske. Frivillige underretninger er undtaget fra aktindsigt.
Underretning og oplysning om væsentlige hændelser
Underretning af tjenestemodtagere (§ 15): Væsentlige og vigtige enheder skal uden unødigt ophold underrette modtagerne af deres tjenester om væsentlige hændelser, der sandsynligvis vil påvirke tjenesteleveringen negativt. De skal også informere potentielt berørte modtagere om væsentlige cybertrusler og eventuelle foranstaltninger, de kan træffe.
Offentliggørelse af hændelser (§ 16): Den relevante kompetente myndighed kan, efter høring af den berørte enhed, informere offentligheden om en væsentlig hændelse, hvis det er nødvendigt for at forebygge eller håndtere hændelsen, eller hvis det er i offentlighedens interesse. Myndigheden kan også påbyde enheden at informere offentligheden. CSIRT kan informere offentligheden om væsentlige hændelser, der påvirker mere end én sektor eller stammer fra andre medlemsstater.
CSIRT’ens opgaver
Opgaver (§ 17): CSIRT håndterer it-sikkerhedshændelser og yder bistand til væsentlige og vigtige enheder, herunder realtidsmonitorering, reaktion på hændelser og proaktiv scanning for sårbarheder efter anmodning. CSIRT kan prioritere opgaver ud fra en risikobaseret tilgang.
Rapportering af sårbarheder (§ 18): CSIRT skal sikre, at fysiske og juridiske personer kan rapportere sårbarheder anonymt. Ministeren for samfundssikkerhed og beredskab kan fastsætte nærmere regler herom.
Udveksling af oplysninger (§ 19): CSIRT faciliterer frivillig udveksling af cybersikkerhedsoplysninger mellem enheder i cybersikkerhedsfællesskaber. Væsentlige og vigtige enheder skal underrette den kompetente myndighed om deres deltagelse i sådanne fællesskaber.
Tilsyn og håndhævelse
Kompetente myndigheder (§ 20): Ministeren for samfundssikkerhed og beredskab fastsætter, efter forhandling med vedkommende minister, hvilken myndighed der skal varetage funktionen som kompetent myndighed inden for en given sektor. Der kan fastsættes regler for at sikre operationel uafhængighed ved tilsyn med den offentlige forvaltning og for koordinering og udveksling af oplysninger mellem myndigheder og CSIRT.
Tilsyns- og kontrolforanstaltninger for væsentlige enheder (§ 21): Kompetente myndigheder fører proaktivt tilsyn med væsentlige enheder. De kan foretage kontrol på stedet og eksternt tilsyn, sikkerhedsaudits, sikkerhedsscanninger og kræve udlevering af nødvendige oplysninger og dokumentation.
Håndhævelsesforanstaltninger for væsentlige enheder (§ 22): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer, påbyde implementering af audit-anbefalinger og udpege en tilsynsførende. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.
Særlige håndhævelsesforanstaltninger for væsentlige enheder (§ 23): Hvis andre håndhævelsesforanstaltninger er utilstrækkelige, kan den kompetente myndighed midlertidigt suspendere certificeringer/godkendelser eller midlertidigt forbyde ledelsespersoner at udøve ledelsesfunktioner. Disse særlige foranstaltninger gælder dog ikke for offentlige forvaltningsenheder.
Tilsyns- og kontrolforanstaltninger for vigtige enheder (§ 24): Kompetente myndigheder fører reaktivt tilsyn med vigtige enheder, dvs. efter indikationer på manglende overholdelse. De har lignende tilsynsforanstaltninger som for væsentlige enheder, men anvender dem reaktivt.
Håndhævelsesforanstaltninger over vigtige enheder (§ 25): Kompetente myndigheder kan udstede advarsler, bindende instrukser, påbud og forbud, påbyde underretning af berørte personer og påbyde implementering af audit-anbefalinger. De kan også påbyde offentliggørelse af afgørelser om håndhævelsesforanstaltninger.
Høring af væsentlige og vigtige enheder (§ 26): Inden anvendelse af håndhævelsesforanstaltninger skal den berørte enhed underrettes og gives en rimelig frist til at fremsætte bemærkninger, medmindre formålet med foranstaltningen ellers ville forspildes.
Gensidig bistand
Gensidig bistand (§ 27): Kompetente myndigheder skal samarbejde med myndigheder i andre EU-medlemsstater, når en enhed leverer tjenester på tværs af grænser. Dette omfatter underretning om tilsyns- og håndhævelsesforanstaltninger, anmodninger om bistand og mulighed for fælles tilsynstiltag.
Videregivelse af oplysninger, digital kommunikation, gennemførelsesretsakter og operativ uafhængighed
Videregivelse af oplysninger (§ 28): Kompetente myndigheder kan videregive oplysninger til andre EU-medlemsstaters myndigheder og EU-institutioner for at varetage lovens opgaver.
Undtagelse fra oplysningspligt (§ 29): Loven omfatter ikke meddelelse af oplysninger, hvis videregivelse strider mod væsentlige interesser af hensyn til national sikkerhed, offentlig sikkerhed eller forsvar. Oplysninger modtaget fra andre EU-medlemsstater behandles fortroligt.
Gennemførelsesretsakter (§ 30): Vedkommende minister kan fastsætte regler, der er nødvendige for at gennemføre retsakter udstedt af Europa-Kommissionen i medfør af NIS 2-direktivet.
Digital kommunikation (§ 31): Ministeren for samfundssikkerhed og beredskab kan fastsætte regler om digital kommunikation, herunder brug af specifikke IT-systemer, digitale formater og digital signatur.
Straf
Straf (§ 32): Overtrædelser af lovens bestemmelser, herunder krav til foranstaltninger, registrerings- og underretningspligter, samt manglende efterkommelse af myndighedspåbud, kan straffes med bøde. Selskaber mv. (juridiske personer) kan pålægges strafansvar. Der kan også fastsættes bødestraf i forskrifter udstedt i medfør af loven.
Ikrafttrædelse, overgangsbestemmelser og ændringer i anden lovgivning
Ikrafttrædelse (§ 33): Loven træder i kraft den 1. juli 2025. En rapport om erfaringerne med loven skal udarbejdes senest 3 år efter ikrafttrædelsen. De indledende registreringspligter (§§ 9 og 10) skal opfyldes senest den 1. oktober 2025. Flere tidligere love om net- og informationssikkerhed ophæves.
Territorialbestemmelse
Territorialbestemmelse (§ 34): Loven gælder ikke for Færøerne og Grønland, men kan ved kongelig anordning helt eller delvist sættes i kraft for disse områder med de nødvendige tilpasninger.
Klima-, Energi- og Forsyningsministeriet· 5. december 2024
Lovforslag
Forslag til Lov om styrket beredskab i energisektoren
Lovforslaget om styrket beredskab i energisektoren har til formål at etablere en robust ramme for modstandsdygtighed og beredskab i den danske energisektor. Dette skal beskytte energiforsyningen mod n
Ministeriet for Samfundssikkerhed og Beredskab· 7. februar 2025
Lovforslag
Forslag til Lov om sikkerhed og beredskab i telesektoren
Dette lovforslag, 'Lov om sikkerhed og beredskab i telesektoren', har til formål at implementere Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 (NIS 2-direktivet) for telesektoren i Danmark. Sa
