Finans Danmark finder det positivt, at kommissionens forslag udvider anvendelsesområdet for det nuværende NIS-direktiv ved at tilføje nye sektorer baseret på deres kritiske indflydelse på økonomien og samfundet.
Finans Danmark bifalder, at der i direktivet generelt sigtes mod en differentiering baseret på et proportionalitetsprincip, således at relevante krav målrettes den faktiske risiko.
Finanssektoren er omfattet af NIS 2.0 og forventes også omfattet af DORA (”Digital Operational Resilience Act”), der bliver en Lex specialis for finansielle institutioner/finansmarkedets infrastruktur. Finans Danmark finder det afgørende, at der i den forbindelse undgås dobbeltregulering eller skabes usikkerhed.
Det bemærkes videre, at der i direktivet om kritiske enheders modstandsdygtighed henvises til cyber- og ikke-cybermodstandsdygtighed. Finans Danmark finder det også afgørende, at der også i denne forbindelse undgås dobbeltregulering eller skabes usikkerhed.
Finanssektoren er underlagt en række rapporteringskrav på cybersikkerhedsområdet og forventes i fremtiden at blive underlagt flere rapporteringskrav til flere agenturer/myndigheder og lande, men med forskellige tidslinjekrav osv. Dette risikerer at blive ineffektivt for alle involverede parter. Finans Danmark anbefaler derfor, at regeringen arbejder for, at rapporteringskrav i videst muligt omfang harmoniseres.
For at sikre en sammenhængende europæisk rapporteringsramme og for at undgå fragmentering anbefaler vi etablering af et reguleringsinitiativ for en tværgående ”cybersikkerhedsrapporteringsforordning” (og ikke et direktiv), der skal omfatte alle rapporteringsforpligtelser og gælde på EU-niveau.