Hvorfor Storbritanniens NIS-opdatering kan betyde ekstra arbejde for organisationer inden for ISMS-området

Hvorfor Storbritanniens NIS-opdatering kan betyde ekstra arbejde for organisationer inden for rammerne af ordningen

By Phil Muncaster • 12. maj 2026 • 6 minutters læsning

Lovforslaget om cybersikkerhed og modstandsdygtighed (CSRB) fortsætter med at behandles i parlamentet. Men afslutningen på en lang lovgivningsproces nærmer sig langsomt. Når det endelig bliver til lov, vil lovforslaget være en længe ventet opdatering af NIS-forordningerne fra 2018. Men hvad med britiske organisationer, der allerede overholder EU's revision af de samme regler, kendt som NIS2?

Selvom der er nogle forsøg på at bringe de to i overensstemmelse, er der også mange punkter, hvor de adskiller sig. Fra antallet af sektorer, der er omfattet af omfanget, til størrelsen af potentielle bøder, skal compliance-teams nu begynde at forstå virkningen af disse ændringer. Og planlægge for en potentiel stor mængde ekstra arbejde.

Hvordan CSRB adskiller sig fra NIS2

For at forstå, hvor langt CSRB afviger fra NIS2, kan du se på resumé af lovforslaget på regeringens hjemmeside. Den nævner slet ikke dens europæiske modstykke. Ordet "tilpasning" optræder heller ikke. I praksis er der flere områder, som compliance-teams skal se på:

Regulerede enheder: anvendelsesområde

Storbritannien fokuserer på operatører af essentielle tjenester (OES), relevante digitale tjenesteudbydere (RDSP'er) – som er cloud-, søge- og markedspladsudbydere – og en ny kategori af relevante administrerede tjenesteudbydere (RMSP'er). Dens tilgang er at udpege specifikke OES'er, hvorimod NIS2 automatisk trækker alle mellemstore og store enheder i 18 sektorer ind. Resultatet er, at nogle organisationer, der er omfattet af CSRB, vil undgå NIS2-regulering og omvendt.

Regulerede enheder: nye kategorier

CSRB introducerer kun én ny OES-kategori af "datacentertjenester", hvorimod NIS2 omfatter flere: offentlig administration, rumfart, spildevand, fødevarer, produktion, posttjenester, affaldshåndtering og digitale udbydere. Det gør det mere sandsynligt, at britiske organisationer, der ikke er reguleret af CSRB, vil falde ind under NIS2.

MSP'er:

RMSP'er introduceres som en ny kategori i CSRB, og de betragtes som essentielle enheder eller vigtige enheder af NIS2. Men der kan være forskellige compliancekrav for hvert regime.

Overvågning af forsyningskæden:

I Storbritannien kan "kritiske leverandører" til OES'er, RDSP'er og RMSP'er udpeges af kompetente myndigheder og Information Commissioner's Office (ICO) og er underlagt direkte tilsyn. I NIS2 er der intet direkte regulatorisk tilsyn, men alle enheder, der er omfattet af ordningen, skal vurdere risici i forsyningskæden.

Hændelsesdefinitioner og rapportering:

CSRB's definition af en reguleret hændelse er blevet udvidet til at omfatte hændelser, "der kan have en betydelig indvirkning på leveringen af en essentiel eller digital tjeneste" samt "hændelser, der væsentligt påvirker et systems fortrolighed, tilgængelighed og integritet". Betydningen vil blive vurderet branche for branche. I NIS2 er hændelser dem, der forårsager driftsforstyrrelser, økonomisk tab eller materiel/immateriel skade på andre. Det betyder, at tærsklen for rapportering kan være forskellig i Storbritannien/EU.

Indberetningsfristerne – første indberetning inden for 24 timer efter at være blevet opmærksom på en hændelse, derefter fuld anmeldelse inden for 72 timer – er dog stort set de samme i Storbritannien/EU.

Kundemeddelelse:

Dette er påkrævet for datacenterudbydere, RDSP'er og RMSP'er i Storbritannien. Men der kan være yderligere krav i henhold til NIS2, afhængigt af medlemslandets fortolkning af direktivet.

Personligt ansvar:

Dette er ikke dækket af CSRB, men NIS2 introducerer betydelig personlig ansvarlighed for den øverste ledelse. Dette inkluderer obligatorisk træning for ledere og personligt ansvar for manglende overholdelse. Britiske organisationer, der overholder NIS2, skal forstå de mere detaljerede forvaltningskrav i EU-ordningen.

sanktioner:

I CSRB er standardbøder den største af £10 mio. eller 2 % af den globale årlige omsætning, men stiger til £17 mio./4 % for maksimale bøder. NIS2 giver medlemsstaterne spillerum til at træffe afgørelse om disse, så længe de er "effektive, forholdsmæssige og afskrækkende".

Tilmelding:

I henhold til CSRB skal RMSP'er og datacenterudbydere, der er udpeget som OES'er, registrere sig. I NIS2 skal essentielle og vigtige enheder registrere sig hos de kompetente myndigheder, men medlemsstaterne bestemmer, hvordan dette fungerer. Konklusionen er, at britiske organisationer skal vurdere deres forpligtelser for begge separat.

Generel tilgang:

CSRB introducerer betydelige nye beføjelser til at indsamle oplysninger for kompetente myndigheder og ICO, uanset hvilken type reguleret organisation der er tale om. NIS2 gør det muligt for vigtige enheder at drage fordel af en lettere tilgang.

Men overordnet set er CSRB designet til at være mere fleksibel end sin europæiske pendant, siger James Wong, senior associate i Tech & Digital-teamet hos det globale advokatfirma Clifford Chance.

"Regeringen vil være i stand til at udstede strategiske prioriteter og målrettede retninger, og tilsynsmyndighederne vil være i stand til at udpege enheder som 'kritiske leverandører', hvilket bringer dem direkte ind under ordningens anvendelsesområde," fortæller han IO (tidligere ISMS.online). "Lovforslaget indeholder også en mekanisme for praksiskodekser, der giver mulighed for nuancer, der er skræddersyet til konteksten."

Compliance-byrden vokser

Wong argumenterer for, at kompleksiteten af "lokale implementeringslove", sekundær lovgivning og det potentielle behov for at samarbejde med flere regulatorer gør compliance mere udfordrende for organisationer, der er omfattet af både NIS2 og CSRB.

Rhiannon Webster, chef for cybersikkerhed i Storbritannien hos det globale advokatfirma Ashurst, tilføjer, at Brexit med dette lovforslag og loven om dataanvendelse og -adgang begynder at have en reel indvirkning på compliance-byrden for britiske virksomheder, der opererer i Europa.

"Det har taget et stykke tid at komme frem, da privatlivs- og cyberlovgivningen i Storbritannien hidtil har været en kopi og indsæt af deres EU-forgængere. Vi har dog nogle små, men meningsfulde ændringer under udvikling," fortæller hun IO.

"Selvom virksomheder kan forsøge at overholde begge ordninger på en ensartet måde ved at anvende den højeste standard i Storbritannien og Europa, er det usandsynligt, at dette er en kommerciel tilgang til compliance, og virksomheder bliver nødt til at overveje forskellene i ordningerne, når de indfører compliance-programmer og vurderer risici."

Kom godt i gang

Webster opfordrer organisationer til først at forstå, om de er omfattet af NIS2 og dets britiske tilsvarende.

"Du vil måske blive overrasket over at høre, at i tilfælde af sikkerhedshændelser og overholdelse af tidsfrister for rapportering har vi ofte klienter, der har været usikre på, om de blev fanget af NIS2, og som forsøger at finde ud af det i tilfælde af et brud, hvilket langt fra er ideelt," forklarer hun.

"Overholdelse af standarder som ISO 27001 kan bruges til at sikre, at dine informationssikkerhedskrav er forholdsmæssige"."

Clifford Chances Wong forklarer, at et "samlet cyberberedskabsprogram, der er kortlagt til alle relevante juridiske og regulatoriske krav", bør være hovedmålet for compliance-teams.

"Brug af etablerede rammer som ISO 27001 kan strømline overholdelsen og gøre det lettere at demonstrere kernepraksis på tværs af flere jurisdiktioner. Sådanne rammer giver en struktur at bygge videre på, men er kun en base og skal tilpasses lokale forpligtelser," tilføjer han. "Regelmæssige evalueringer sikrer, at programmet forbliver egnet til formålet, efterhånden som kravene ændrer sig over tid."

For komplekse forretningsaktiviteter, der spænder over flere jurisdiktioner, bliver bedste praksis endnu vigtigere, siger Wong. Han peger på "proaktivt lederskab", prioritering af risici og kontroller, regelmæssige bordøvelser, stærke relationer i forsyningskæden og implementering af de rigtige værktøjer.

Uanset hvordan man ser på det, vil prisen for at operere i Storbritannien og EU stige.