NIS2-ekspert bekymret over virksomheders nølen: Frygter GDPR-lignende kaos

Plus4. maj kl. 04:0010
NIS2
Emil Bisgaard, erhvervsjuridisk rådgiver hos Poul Schmith/Kammeradvokaten, frygter, at NIS2-opgaven bliver for uoverskuelig, hvis virksomheder venter med at gå i gang, til myndighederne melder noget ud. Illustration: Ingeniøren.
Danske virksomheder er tilbageholdende med at komme i gang med NIS2-arbejdet, fordi der fortsat hersker usikkerhed om de kommende danske regler. Der er dog flere ting, man allerede nu kan gøre, understreger ekspert. Og det er bare med at komme i gang nu, hvis man vil nå det i tide.
Louise Olifent
Artiklen er ældre end 30 dage
Louise Olifent

De sidste par måneder har repræsentanter fra erhvervslivet flere gange udtrykt bekymring for, at danske virksomheder ikke når i mål med de kommende EU-krav til it-sikkerhed  i tide.

Der er nemlig kun lidt over et år til deadline for implementering af NIS2-dirketivet, og mange er fortsat forvirrede over, hvordan it-sikkerhedsloven fra EU helt konkret kommer til at gælde herhjemme. Mange afventer en udmelding fra de myndigheder, der har ansvaret for at oversætte direktivet til en dansk kontekst.

Gratis adgang i 30 dage

Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Ing.dk, Version2 og Radar, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement
remove_circle
Har du allerede et PLUS-abonnement eller klip?
close

Velkommen til PLUS

Da du er ved at tilmelde dig en gratis prøve beder vi dig hjælpe os med at gøre vores indhold mere relevant for dig, ved at vælge et eller flere emner der interesserer dig.

Vælg mindst et emne *
Du skal vælge en adgangskode til når du fremover skal logge ind på din brugerkonto.
visibility
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Fortsæt med MitIDA
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Ing.dk, Version2 og Radar
Fuld digital adgang til PLUS-indhold på Ing.dk, Version2 og Radar, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
10 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
Lorry Nielsen
4. maj kl. 08:54

Lad os starte med det basale:

NIS2 er IKKE en "it-sikkerhedsloven fra EU". Det er en lovgivning der skal sikre viden og vidensdeling om hændelser (ikke kun angreb). Der stilles krav om nogle kapabiliteter, hvoraf en del er digitale.

minde en del om det, mange endte i med GDPR, hvor man virkelig havde travlt frem mod, loven fik virkning i Danmark,« siger han til Version2.

Ja, men ret beset er risikoen ret lille, hvis impact og sandsynlighed er det samme som GDPR. så hvorfor skynde sig?

Det, som er kernen i NIS2, er et grundlæggende krav til, at du skal arbejde risikobaseret

Hvor i NIS2 står dette? som jeg husker NIS2, så står der ikke noget om risikobaseret, der står at man skal kunne dokumentere forskellige forhold.

Hvis der stod at virksomhederne skulle arbejde risikobaseret, ville det kræve så meget mere og ville kræve en implementeringsperiode på et par år, mindst. Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret.

  • more_vert
    • insert_linkKopier link
10
Gert Madsen
7. maj kl. 20:13

Ja, men ret beset er risikoen ret lille, hvis impact og sandsynlighed er det samme som GDPR. så hvorfor skynde sig?

Ja, det kræver ikke megen tid med regnearket at konstatere at det er billigere at betale bøden, end at bruge en masse tid på at leve op til kravene.

  • more_vert
    • insert_linkKopier link
4
Peter Trudslev
4. maj kl. 12:44

Læs direktivets paragraf 20:

Overskriften er 'Kapitel IV Foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser'

Artikel 20 Styring

  1. Medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel. ...
  2. Medlemsstaterne sikrer, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.

Jeg synes, at det handler rigtig meget om risikobaseret tænkning og -styring.

  • more_vert
    • insert_linkKopier link
5
Marius Zena
4. maj kl. 13:26

Jeg er ikke enig, Artikel 20 siger ikke noget om at det skal være risikobaseret. Risikostyring er blot en mulighed for at opnå målet.

  • more_vert
    • insert_linkKopier link
6
Klavs Klavsen
4. maj kl. 13:36

https://gdpr-info.eu/issues/privacy-impact-assessment/"Basically, a data protection impact assessment must always be conducted when the processing could result in a high risk to the rights and freedoms of natural persons. " - så du SKAL vurdere risici for de data du behandler - således at du kan lave en PIA på de rigtige.

Så jeg kan ikke andet, end at se det som et krav at man vurderer risici (sandsynlighed og impact) for datatab af forskellig art - og derved har man været pænt inde over de samme områder, som NIS2 omhandler.

  • more_vert
    • insert_linkKopier link
3
Klavs Klavsen
4. maj kl. 11:14

Hvis der stod at virksomhederne skulle arbejde risikobaseret, ville det kræve så meget mere og ville kræve en implementeringsperiode på et par år, mindst. Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret.

Du må mene noget andet end den interview'ede mht. risikobaseret. Som opsummeret fint her - står det allerede som et krav i GDPR at man skal arbejde risikobaseret med sin sikkerhed / databeskyttelse - https://www.collibra.com/us/en/blog/adopting-a-risk-based-approach-to-comply-with-gdpr

Så hvis man ikke gør det allerede, er man i brud med GDPR :(

  • more_vert
    • insert_linkKopier link
7
Marius Zena
4. maj kl. 13:44

Enig i at det står i GDPR lovgivningen, men dette handler om NIS2 og en nogle andre typer af virksomhed end dem som arbejder med følsomme persondata.

Dog vil jeg, som Lorry skriver, også påstå at "Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret."

Jeg arbejder for en stor dansk virksomhed. Her ser jeg nærmest ingen dokumentation for at man arbejder med risikobaseret ledelse.

Der er en politik, der siger at vi skal arbejde risikobaseret, men intet krav om at risici skal dokumenteres og der har aldrig været et kursus om hvad en risiko er.

Jeg høre flere tale om risici, men hver gang er det sårbarheder der tales om, ikke risici.

fx. At noget ikke er patched og indeholder en sårbarhed som producenten mener er kritisk, betyder ikke at der er en væsentlig risiko. En risiko er kombinationen af sandsynlighed og konsekvens. Yderligere hvis det aktiv der skal beskyttes ikke har nogen særlig værdi så er risikoen igen lavere.

En risikobeskrivelse er nød til at beskrive hvilket form for tab der kan forventes, hvilken trussel der kan gør skade og hvilken sårbarhed truslen udnytter.

  • more_vert
    • insert_linkKopier link
8
Klavs Klavsen
4. maj kl. 14:05

En risikobeskrivelse er nød til at beskrive hvilket form for tab der kan forventes, hvilken trussel der kan gør skade og hvilken sårbarhed truslen udnytter.

Og det er præcis hvad en PIA er - og som derfor er krævet at man udarbejder ifbm. GDPR

  • more_vert
    • insert_linkKopier link
9
Marius Zena
4. maj kl. 14:24

Artiklen handler om NIS2 ikke GDPR.

Selv når vi taler GDPR vil jeg fastholde at "Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret."

Dokumentere/dokumentation er nøgleordet her.

  • more_vert
    • insert_linkKopier link
1
Thomas Rasmussen
4. maj kl. 08:44

Glimrende interview med en anden vinkel end ellers.

  • more_vert
    • insert_linkKopier link