12. februar 2026

Forfattere

Af Louis Paganuzzi, advokatassistent, Sedgwick Legal Services

Yderligere forfatterkredit: Paul Squires – Partner, Sedgwick Legal Services & Luke Moore – Leder af Digital Forensics and Incident Response, Sedgwick International UK

En strategisk indsigt i Storbritanniens cybersikkerhedsordning og hvad fremtiden bringer.

Resumé

Den britiske regerings lovforslag om cybersikkerhed og modstandsdygtighed (net- og informationssystemer) (lovforslaget) udgør en væsentlig opdatering af Storbritanniens tværsektorielle cyberregime siden Network and Information Systems Regulations 2018 (NIS-forordningerne). Det sker ved at udvide det lovgivningsmæssige anvendelsesområde, skærpe kravene til indberetning af hændelser, øge ansvaret i forsyningskæden og styrke håndhævelsesbeføjelserne. 

Det er en del af regeringens bredere nationale sikkerhedsagenda og dens bestræbelser på at mindske kløften mellem eskalerende cybertrusler og eksisterende reaktionskapaciteter.

Denne indsigt forklarer begrundelsen bag reformerne, de vigtigste foreslåede ændringer, hvem der vil blive berørt, og hvordan organisationer bør forberede sig.

Hvorfor opdateres NIS-ordningen? 

Cybertruslen mod britiske organisationer er blevet betydeligt større i takt med den hurtige teknologiske udvikling og det stigende antal statsstøttede aktører. Det britiske nationale cybersikkerhedscenter har rapporteret om en kraftig stigning i antallet af cyberhændelser, hvor stadig flere alvorlige og højt profilerede hændelser påvirker vigtige tjenester.

Samtidig har tilsynsmyndigheder som ICO understreget behovet for at fremskynde forbedringer af forsyningskædens modstandsdygtighed – i erkendelse af, at afhængigheder i lange, sammenkoblede forsyningskæder udgør en væsentlig risiko. Dette er en af de tilbagevendende bekymringer, der er rejst i regeringens politiske drøftelser, nemlig at de nuværende krav til indberetning af hændelser ikke giver tilstrækkelig indsigt i de systemiske risici, som de mest berørte tjenester står over for.

Lovforslaget har til formål at sikre, at reglerne moderniseres og afspejler de strukturelle realiteter i dagens digitale infrastruktur, hvor forstyrrelser hos en enkelt tjenesteudbyder kan få vidtrækkende konsekvenser på tværs af sektorer.

Udvidet anvendelsesområde

Lovforslaget udvider i væsentlig grad omfanget af organisationer, der er underlagt regulering. Ud over operatører af væsentlige tjenester og eksisterende relevante digitale tjenesteudbydere retter ordningen opmærksomheden mod sikkerheden i forsyningskæden, svarende til EU's NIS2. Det omfatter f.eks.:

  • Managed Service Providers (MSP'er) – mellemstore og store udbydere (betegnet som relevante Managed Service Providers)
  • Datacenterudbydere – herunder dem, der overskrider ovenstående kapacitetstærskler
  • Visse store belastningsregulatorer
  • Udvalgte kritiske leverandører – hvor afbrydelser i tjenesterne kan have væsentlig indflydelse på vigtige eller digitale tjenester

Omfanget vil være fleksibelt, idet tilsynsmyndighederne får beføjelse til at udvide ordningen, så de kan udpege organisationer, som de anser for at være kritiske leverandører.

Styrkelse af rapportering af hændelser

Lovforslaget indfører tidligere indberetning af hændelser, bredere indberetningstærskler og forbedret informationsudveksling.

I henhold til de eksisterende NIS-regler skal hændelser, der opfylder tærsklerne for indberetning, indberettes til tilsynsmyndigheden inden for 72 timer. Det nye lovforslag vil ændre denne holdning (i et vist omfang) og tilpasse sig kravene i EU's NIS2-direktiv, der fastsætter en indledende indberetning inden for 24 timer og en opfølgning inden for 72 timer.

Hvad angår kundemeddelelser, er udbyderen i henhold til de nuværende NIS-regler forpligtet til at underrette den relevante tilsynsmyndighed. Denne tilsynsmyndighed kan derefter underrette offentligheden eller kræve, at udbyderen gør det. Lovforslaget foreslår at ændre dette, så det bliver udbyderen selv, der har pligt til at underrette kunderne direkte.

Udenrigsministerens håndhævelsesmekanismer og beføjelser

Statssekretæren vil også få yderligere beføjelser. Dette omfatter muligheden for at udstede lovpligtige adfærdskodekser samt erklæringer om strategiske prioriteter, der skitserer regeringens mål for at styrke modstandsdygtigheden og sikkerheden på tværs af vitale tjenester.

Desuden indfører lovforslaget en skærpet håndhævelsesordning. Tilsynsmyndighederne får udvidede undersøgelsesbeføjelser, en ny lovbestemt mekanisme til dækning af omkostninger gennem afgiftssystemer og adgang til en revideret sanktionsstruktur, der er knyttet til organisationens omsætning. De maksimale bøder øges betydeligt, og alvorlige overtrædelser kan medføre bøder på op til 17 millioner pund eller 4 % af den globale omsætning (alt efter hvad der er højest) samt yderligere daglige bøder for fortsat manglende overholdelse og overtrædelser.

Praktiske implikationer

Organisationer, der allerede er reguleret under NIS-rammen, bør vurdere, hvordan lovforslaget kan ændre deres operationelle, ledelsesmæssige og rapporteringsmæssige forpligtelser, især de tjenester, der leveres gennem Managed Service Providers. 

Luke Moore, chef for Digital Forensics & Incident Response Services hos Sedgwick, kommenterer: "Den nye lovgivning understreger, at cybersikkerhed nu mere end nogensinde er et ansvar, der i sidste ende ligger på ledelsesniveau. For at opfylde disse krav skal man først have klarhed over sin infrastruktur og de data, man besidder, for man kan ikke overholde kravene uden at vide, hvad man driver og beskytter. Lovforslaget fremhæver en bevægelse i retning af tidlig handling, stærkere overvågning og afprøvede reaktionsmuligheder.

Vi arbejder sammen med vores kunder om at træffe foranstaltninger nu, for at verificere deres kontroller og forstå deres infrastruktur og operationelle risiko, så de vil være i en langt stærkere position, når de nye lovgivningsmæssige forpligtelser træder i kraft.

Lovforslaget er naturligvis kun ved begyndelsen af sin parlamentariske rejse, hvor andenbehandlingen blev afsluttet i begyndelsen af januar 2026. Lovforslaget går nu ind i udvalgsfasen, hvor der vil blive foretaget en detaljeret gennemgang af de enkelte paragraffer. Vi opfordrer organisationer til at følge med i, hvordan lovforslaget udvikler sig, efterhånden som det behandles i parlamentet, så de er klar til de foreslåede reformer og forberedt på et mere strengt compliance-miljø fremover.

Hvordan vi kan hjælpe

Sedgwick råder organisationer til ikke blot at betragte lovforslaget som en hindring for overholdelse af reglerne, men som en strategisk mulighed for at styrke modstandsdygtighed, governance og tillid i lyset af nye risici. Vores specialiserede digitale retsmedicinske og juridiske teams hjælper med:

  • Resiliensrevisioner af cybergovernance og rapporteringsrammer
  • Kontraktmæssige gennemgange af sikkerhedsklausuler i forsyningskæden og udløsende faktorer for eskalering
  • Udvikling af beredskabsplaner og rapporteringsprotokoller på bestyrelsesniveau
  • Fortolkning af sektorspecifikke forpligtelser og tærskler

Derudover tilbyder vi integrerede juridiske og compliance-tjenester, der gør det muligt for virksomheder at:

  • Imødekom proaktivt lovgivningsmæssige forventninger
  • Kommunikér beredskab til kunder, bestyrelser og interessenter
  • Tilpas teknologiinvesteringer til nye juridiske forpligtelser
  • Forbedre modstandsdygtigheden på tværs af drift, teknologi og forsyningskæder

Ud over den juridiske og lovgivningsmæssige støtte, som Sedgwick Legal Services yder, kan du styrke din position ved at indføre supplerende operationelle foranstaltninger, der hjælper med at demonstrere reel kapacitet via Sedgwick Digital Forensics & Incident Response Services:

  • Uafhængige cybervurderingsrevisioner, der validerer kontrolens effektivitet og identificerer svagheder 
  • Proaktiv testning og løbende overvågning for at demonstrere modstandsdygtighed over for nye trusler 
  • Målrettede data mining-vurderinger for at kortlægge de data, du har, hvor de befinder sig, og hvor der kan være risiko for eksponering 
  • Forbedret intern rapportering, så tekniske fund oversættes til klare, handlingsrettede oplysninger til brug for ledelsen

Cybermodstandsdygtighed er nu et forretningskrav. Lovforslaget signalerer et skift fra passiv overholdelse til aktiv kapacitet. Organisationer, der kombinerer stærk juridisk vejledning med evidensbaseret operationel indsigt, vil være bedre rustet til at lede med tillid, kontinuitet og kontrol.

For yderligere information, kontakt venligst:

Tags: cyber cyberkriminalitet Cybermodstandsdygtighed Cyberrisiko cybersikkerhed

Flere artikler som denne

Navigering i lovgivningsmæssige og politiske ændringer i et komplekst WFA-miljø Indsigt

Navigering i lovgivningsmæssige og politiske ændringer i et komplekst WFA-miljø

Hvorfor de første 14 dage er vigtigst i erstatningssager Indsigt

Hvorfor de første 14 dage er vigtigst i erstatningssager

Imødekomme nutidens arbejdstageres behov: Hvorfor tidlig sygeplejeintervention er den nye vej til bedre skadesresultater Indsigt

Imødekomme nutidens arbejdstageres behov: Hvorfor tidlig sygeplejeintervention er den nye vej til bedre skadesresultater

Sprog