Med EU’s nye NIS2-direktiv skærpes kravene til cybersikkerhed og krisehåndtering. Det har sat apotekerne i fuld gang med at opruste på sikkerheden. Både når det kommer til procedurer ved brand eller strømsvigt, og når det gælder IT-sikkerheden på et mere overordnet plan. Apotekerforeningen har fokus på at øge hjælpen til apotekerne.
)
Cyberangreb og krisesituationer står højt på samfundets dagsorden. Det stiller nye krav til IT-sikkerhed og beredskab – også på apotekerne. Derfor opruster apotekerne lige nu med alt fra planer for indbrud og strømsvigt til styrkede procedurer for informations- og datasikkerhed.
Indsatsen sker ikke mindst med udgangspunkt EU’s nye NIS2-direktiv, der trådte i kraft den 1. juli. Med direktivet er det blevet lovpligtigt at have politikker for informationssikkerhed, modstandsdygtighed og risikostyring – samt konkrete planer for, hvordan hændelser håndteres. Derudover skal sikkerhedsforanstaltningerne løbende vurderes, og medarbejderne skal trænes i IT-sikkerhed. Det er ifølge lovgivningen den enkelte apoteker, der har ansvaret.
Det har man kunnet mærke i Apotekerforeningen, hvor man siden sommer har modtaget mange henvendelser fra apotekerne i forhold til, hvordan man bedst får indarbejdet NIS2 i sin praksis.
”Det er dejligt at se, at apotekerne er gået til opgaven med stort gå-på-mod og et ønske om at implementere NIS2 på bedste vis. Apotekerne skal sikre medicinforsyningen og har dermed en samfundskritisk rolle. Samtidig håndterer apotekerne personfølsomme data, som skal sikres mod trusler,” siger Julie Engelmann Mollerup, sundhedsfaglig konsulent i Kvalitetsenheden i Apotekerforeningen.
Hun oplever, at flere apoteker ønsker hjælp til håndtering af NIS 2 lokalt og efterspørger en afklaring af, hvad myndighederne kræver generelt i forhold til beredskab.
Foreningen arbejder derfor på at opbygge et site på medlemsnettet, der skal give apotekerne et samlet overblik over håndtering af krisesituationer herunder NIS2-direktivet. Desuden presser man på for en afklaring af kravene fra myndighederne, ligesom der hentes inspiration fra andre nordiske lande.
En del af kvalitetssystemet
Et af de steder, hvor man er godt i gang med det arbejde, er på Varde Apotek. Her har man indarbejdet NIS2 i det eksisterende kvalitetssystem.
”Vi har integreret NIS2 som en del af vores kvalitetssystem og vores årshjul. På den måde har vi sikret, at vi når rundt om det hele, fortæller Philip Thestrup, som er farmaceut og kvalitetsansvarlig på Varde Apotek.
Selvom de har fundet en god model for implementeringen af NIS2, vil Philip Thestrup ikke lægge skjul på, at det også har været en krævende opgave, som ved første øjekast virkede en smule uoverskuelig.
”Det har været en stor opgave, men vi satte os ned og fik lavet en plan for, hvordan vi bedst kunne integrere det i vores kvalitetssystem. I starten virkede det uoverskueligt men i takt med, at jeg fik læst mig igennem materialet, begyndte det at give mening,” siger han.
Selvom apoteket allerede havde instrukser for krisesituationer, så har NIS2 givet anledning til større refleksion over apotekets beredskab. Med NIS2 er der blandt andet krav om mere detaljerede håndteringsplaner.
”Jeg kan godt se idéen i, at vi skal have de her mere detaljerede håndteringsplaner for krisesituationer som brand, strømsvigt eller indbrud. Det kan være en hjælp, når man står i en presset situation og måske ikke tænker klart,” siger Philip Thestrup.
Kræver tilvænning
Han ser også fordele i den årlige gennemgang af instrukser, som direktivet foreskriver. Til gengæld har han lidt svært ved at se behovet for, at de overordnede politikker også skal gennemgås årligt.
”Jeg synes både der er fordele og ulemper ved NIS2, men jeg tror også, at det er en proces, hvor man lige skal vænne sig til det nye system, og så kan det være, at nogle af procedurerne giver mere mening hen ad vejen. GDPR krævede også tilvænning i sin tid, men i dag er det en integreret del af vores kvalitetssystem,” siger Philip Thestrup.
På Varde Apotek tilretter man løbende kvalitetssystemet i takt med, at ting ændrer sig, eller man finder smartere måder at organisere tingene på. Det samme gør sig gældende for NIS2.
”For nu er vi kommet godt i gang med NIS2, men om et år, når vi har lært det bedre at kende, har vi måske fundet en smartere måde at organisere det på,” siger Philip Thestrup.
)
NIS2 er EU’s opdaterede direktiv om net- og informationssikkerhed, som trådte i kraft i Danmark den 1. juli 2025. Det har til formål at styrke cybersikkerheden i samfundskritiske sektorer og sikre en ensartet modstandsdygtighed mod cybertrusler på tværs af EU.
NIS2 står for Network and Information Systems Directive 2, og er en opdatering af det tidligere EU-direktiv ved navn NIS1.
NIS2 og apotekerne
Apotekerne blev pr. 1 juli 2025 indbefattet af NIS2, da de varetager en samfundskritisk funktion ved udlevering af medicin. Det betyder, at de blandt andet skal: udarbejde en politik for informationssikkerhed, modstandsdygtighed og risikostyring implementere hændelseshåndteringsplaner for fx cyberangreb, strømafbrydelser og fysisk indbrud træne medarbejdere i IT-sikkerhed registrere sig på virk.dk.
Der er udarbejdet en dokumentpakke med skabeloner og vejledninger, som skal bruges til implementeringen på apoteket. Sekretariatet vil genbesøge NIS 2-dokumentpakken på medlemsnettet med henblik på at vurdere, hvor og hvordan materialerne kan gøres mere praksisnære, klar til brug og eventuelt sektorfælles.