Artikel rettet den 17/5 2022 klokken 13.56: Tidligere hed rubrikken: 'NIS2 er vedtaget: Danmark har 21 måneder til at få styr på it-sikkerheden'. Den er nu ændret, da en juridisk ekspert oplyser Version2, at direktivet ikke officielt er vedtaget endnu. Det sker først, efter to medlovgivere har godkendt aftalen.
Der er officielt udsigt til større it-sikkerhedskrav hos et væld af store og mellemstore danske virksomheder, efter EU-Parlamentet i fredags blev enige om den nye NIS2-lov.
Beslutningen kommer til at få betydning for en række sektorer, der ikke har været omfattet af forgængeren, NIS. Det er blandt andet spildevandssektoren, affaldssektoren og fødevaresektoren, som nu skal gøre klar til at overholde de nye krav.
»Udvidelsen af reglernes omfang, som stiller krav til flere enheders og sektorers it-sikkerhedshåndtering, vil bidrage til at øge it-sikkerhedsniveauet i Europa på mellemlang og længere sigt,« skriver EU-Kommissionen i en pressemeddelelse.
Generelt vil NIS2 omfatte sektorer, som håndterer samfundskritisk infrastruktur, og for EU-Kommissionen, der fremsatte et udkast til loven i december 2020, er der et klart behov for at sikre de mest essentielle systemer mod trusler udefra, fortæller Thierry Breton, EU-kommissær for det indre marked:
»Cybertrusler er blevet dristigere og mere komplekse. Det var afgørende at tilpasse vores sikkerheds-rammer den nye virkelighed og sikre, at vores borgere og infrastruktur er beskyttet. I nutidens cyber-landskab er samarbejde og hurtig informationsdeling altafgørende. Med NIS2-aftalen moderniserer vi reglerne til at sikre mere kritiske tjenester for vores samfund og økonomi. Derfor er det her et kæmpe skridt fremad,« udtaler han i pressemeddelelsen.
Herunder er nogle kategorier af sikkerhedstiltag, organisationer omfattet af NIS2 skal tage, iføge Europa-Parlamentet:
- Risikoanalyser og sikkerhedspolitik for informationssystemer.
- Hændelseshåndtering – både præventivt, opdagelse og håndtering.
- Krisehåndtering
- Værdikædesikkerhed for leverandører af både hardware og services – herunder datalagring, processorservices og sikkerhedsservices.
- Kryptografi og kryptering
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, sårbarhedshåndtering og offentliggørelse
- Policy og procedure for at vurdere effektiviteten af sikkerhedstiltag
- HR – sikkerhed og regler for adgangskontrol
Nu skal loven til Danmark
NIS2 stiller helt konkret krav til virksomheders it-sikkerhed, sikkerheden omkring forsyningskæder og leverandørforhold, og så kan den øverste ledelse holdes til ansvar, hvis reglerne ikke bliver overholdt.
Loven kræver også, at anmeldelser for brud på sikkerheden bliver mere strømlinet. Der er større krav til tilsynsfunktioner, der skal være mere strikse i at håndhæve reglerne, ifølge pressemeddelelsen.
Den endelige NIS2-tekst er endnu ikke offentliggjort. Nu skal aftalen officielt godkendes af to medlovgivere, hvorefter den bliver lagt ud på EUs officielle portal for lovtekster.
Så går der 20 dage, hvorefter NIS2 træder i kraft. Det betyder dog ikke, at danske virksomheder skal være i mål med implementeringen allerede. Først efter ikrafttrædelsen har medlemslandene har 21 måneder til at få lavet national lovgivning, og når de danske lovgivere er færdige, får reglerne virkning i Danmark.
Lov kræver flere it-specialister
Selvom der er længere udsigter til, at kravene kommer til Danmark, er det vigtigt, at de omfattede organisationer allerede nu begynder at få styr på reglerne, fortalte Emil Bisgaard, erhvervsjuridisk rådgiver og partner hos Poul Schmith/Kammeradvokaten, til ComplianceTech i starten af maj.
Men det kan blive et problem at samle de kompetencer, sådan et arbejde kræver, pegede han på. Når de nye regler favner bredt, kræver det nemlig også flere it-specialister:
»Jeg ved ikke, hvor alle de cyber-specialister skal komme fra,« sagde han og uddybede:
»Nu skal alle EUs medlemslande implementere NIS2 og føre tilsyn med efterlevelsen af NIS2. Så alle de omfattede enheder skal have nogle folk ansat, der kan løse opgaven, og medlemsstaterne skal have nogle folk ansat, der kan føre tilsyn med, at opgaverne bliver løst. Og det ved jeg ikke helt, hvordan man vil gøre. Det er et af de største strategiske problemer med det her, for hvordan løser man det med den tid, der er til rådighed?«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
