Opdatering om NIS2 og CER-direktiverne – implementeringer forsinket
Hermed en orientering om den seneste udvikling vedrørende implementeringen af NIS2- og CER-direktiverne, som begge får betydning for medicovirksomheder.
NIS2: Cybersikkerhed og forsinket implementering
NIS2-direktivet, som er en del af EU's indsats for at sikre et højt cybersikkerhedsniveau på tværs af medlemslandene, er blevet forsinket i sin danske implementering. Dette direktiv erstatter det tidligere NIS1-direktiv og udvider omfanget af sektorer og virksomheder, der er omfattet af kravene. Implementeringen skulle have været på plads tidligere, men er nu udskudt til den 1. marts 2025.
Nu har hovedloven i lovgivningen lige været til høring, og Medicindustrien har afgivet høringssvar. Senere udstedes de relevante sektormyndigheder nærmere udmøntning af NIS2 indenfor de respektive sektorer. Det er vigtigt at bemærke, at det danske Forsvarsministerium, som står for implementeringen, har valgt en minimumsstrategi. Dette betyder, at de danske krav ikke vil overstige de allerede fastsatte EU-krav, hvilket Medicoindustrien støtter.
Medicoindustrien slår i høringssvaret et slag for, at vi som branche allerede er underlagt stram regulering, og vi derfor får brug for fyldig vejledning om den nærmere udmøntning af kravene til vores branche, navnlig i forhold til hændelsesindrapportering, når de kommende sektorbekendtgørelser bliver vedtaget.
CER: Fysisk sikkerhed og kriseberedskab
CER-direktivet fokuserer på at styrke modstandsdygtigheden af kritisk infrastruktur, herunder den fysiske sikkerhed og beredskab i tilfælde af kriser, hvad enten det er pandemier, klimakatastrofer eller andre trusler. Dette direktiv erstatter det tidligere ECI-direktiv og udvider omfanget betydeligt, hvilket betyder, at flere sektorer nu vil være omfattet.
Implementeringen af CER-direktivet i Danmark er også blevet forsinket og forventes nu først at træde i kraft den 1. januar 2025. Medicoindustrien har afgivet høringssvar, hvor Medicoindustrien understreger vigtigheden af klare vejledninger og retsakter, så vores medlemmer kan opfylde de kommende krav effektivt. Medico branchen er allerede stærkt regulerede og har erfaring med risikostyring inden for medicinsk udstyr, men de nye krav vil uden tvivl medføre yderligere tilpasninger.
Hvad betyder dette for medicobranchen?
Forsinkelserne i implementeringen af både NIS2 og CER giver Medicoindustriens virksomheder lidt ekstra tid til at forberede sig på de nye krav. Men det er vigtigt at være opmærksom på, at både cybersikkerhed og fysisk sikkerhed vil kræve betydelige ressourcer og fokus fremadrettet.
Medicoindustrien anbefaler, at I allerede nu begynder at overveje, hvordan I bedst kan integrere disse nye krav i jeres eksisterende sikkerheds- og beredskabsplaner.
Medicoindustrien vil fortsat holde fingeren på pulsen samt udkomme med nye nyheder om udviklingen og står naturligvis til rådighed for spørgsmål og yderligere vejledning.
Se Medicoindustriens høringssvar her: NIS2 og CER.
Se også Medicoindustriens kursus om Cybersecurity Risk Management.