NIS2 nærmer sig: Bøder for sjusk med it-sikkerheden vokser
Sidste fredag kulminerede månedlange forhandlinger om det nye it-sikkerhedsdirektiv, NIS2, i Bruxelles, efter Europa-Parlamentet og Det Europæiske Råd blev enige om en endelig aftale.
I den forbindelse er bødeniveauet for at bryde med reglerne steget fra max 2 og 4 millioner euro, som Det Europæiske Råd lagde op til sidste november, til max 10 millioner euro, fortæller Morten Løkkegaard, medlem af Europa-Parlamentet for Venstre og topforhandler på den nye aftale.
Forliget er længe ventet, for det haster med at få sendt officielle it-sikkerhedsregler ud til de mange nye organisationer, som forgængeren, NIS1 fra 2016, ikke krævede noget af, men som nu bliver omfattet af NIS2:
»Alle er klar over, at den er gal. Det står klart nu, fordi vi i de fem år fra 2016 til 2021 er blevet lagt ned den ene gang efter den anden både privat og offentligt, og nu er der altså en klar erkendelse af, at vi kæmper mod tiden, for det bliver kun værre,« fortæller han til Version2.
Herunder er nogle kategorier af sikkerhedstiltag, organisationer omfattet af NIS2 skal tage, iføge Europa-Parlamentet:
- Risikoanalyser og sikkerhedspolitik for informationssystemer.
- Hændelseshåndtering – både præventivt, opdagelse og håndtering.
- Krisehåndtering
- Værdikædesikkerhed for leverandører af både hardware og services – herunder datalagring, processorservices og sikkerhedsservices.
- Kryptografi og kryptering
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, sårbarhedshåndtering og offentliggørelse
- Policy og procedure for at vurdere effektiviteten af sikkerhedstiltag
- HR – sikkerhed og regler for adgangskontrol
Vokset med flere millioner euro
Da EU-Kommissionen først offentliggjorde udkastet til NIS2 i december 2020, hed det sig, at organisationer minimum skulle have 10 millioner euro eller op til 2 procent af den globale årlige omsætning i bøde for et brud på loven.
I starten af sidste november foreslog Europa-Parlamentet, at organisationer i stedet skulle risikere at betale maximum 10 millioner euro i bøde. Her var Parlamentet dog enig i de 2 procent.
I slutningen af sidste november kom Det Europæiske Råd med sit reviderede udkast og foreslog, at man laver en skillelinje mellem ‘essentielle’ og ‘vigtige’ virksomheder. De vigtige skulle risikere bøder på 4 millioner euro eller op til 2 procent af den årlige globale omsætning, imens de essentielle skulle risikere bøder på 2 millioner euro eller 1 procent af den globale årlige omsætning.
Derfor har der de sidste seks måneder været udsigt til en lettere økonomisk straf for at sjuske med it-sikkerheden, men i den endelige politiske aftale vandt Europa-Parlamentets forslag.
Nu vanker der NIS2-smæk på op til 10 millioner euro, slår Morten Løkkegaard fast. Og så kan ‘vigtige’ virksomheder risikere at skulle betale op til 1,4 procent af den globale årlige omsætning, imens ‘essentielle’ virksomheder kan forvente bøder på op til 2 procent af den globale årlige omsætning.
Direktivet skal blandt andet styrke sikkerhedskravene i EU-landenes kritiske infrastruktur og dertilhørende forsyningskæder, strømline kravene til indberetning af sikkerhedshændelser, øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele EU.
De inkluderede sektorer dækker over:
- Energi (elektricitet, fjernvarme og fjernkøling, olie, gas og hydrogen)
- Transport (søfart, luft-, jernbane- og vejtransport)
- Bankvæsen og finansielle markedsinfrastrukturer
- Sundhed
- Fremstilling af farmaceutiske produkter (herunder vacciner og kritisk vigtigt medicinsk udstyr)
- Drikkevand og spildevand
- Digital infrastruktur (internetudvekslingspunkter, DNS-udbydere, TLD-navneregistre, udbydere af cloudcomputingtjenester, udbydere af datacentertjenester, net til indholdsdistribution, tillidstjenesteudbydere, og offentlige elektroniske kommunikationsnet samt elektroniske kommunikationstjenester)
- Offentlig forvaltning
- Rumteknologi
- Postvæsen og kurerfirmaer
- Affaldshåndtering
- Kemikalier
- Fødevarer
- Fremstilling af andet medicinsk udstyr
- Computere og elektronik
- Maskinudstyr
- Motorkøretøjer
- Digitale udbydere (onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester)
10 millioner er politisk kompromis
Selvom det potentielt kan få stor betydning for virksomheder, der skal have penge op af lommen, om bøden er på 10 eller 4 millioner euro, var den endelige beslutning præget af tilfældigheder, fortæller Morten Løkkegaard:
»Det er et politisk kompromis. Nogen mener det ene, og nogen mener det andet, og så bliver man enige. Hvor sådan en grænse ligger, det er fuldstændigt arbitrært. Vi ender på Parlamentets position i dét spørgsmål.«
Han hører ofte virksomheder spørge, hvorfor bøderne skal være så store, men de er inspireret af blandt andet GDPR, hvor et vigtigt element af sanktionen er, at de skal virke afskrækkende.
»Enhver form for lovgivning skal indebære en eller anden form for sanktion, hvis ikke man overholder den. Så det er mærkværdigt, at man overhovedet stiller spørgsmålet, for det burde være normalt for længst, at det, ikke at leve op til loven, er forbundet med en straf,« understreger politikeren.
Skal være billigere at overholde loven
Et vigtigt element af NIS2-bøden har hele tiden været, at det ikke skal kunne betale sig økonomisk at overholde loven, ifølge Morten Løkkegaard. De 10 millioner er et slags gennemsnit for, hvad virksomheder ofte betaler for at slippe ud af eksempelvis et ransomwareangreb.
»Ideen har været, at der skal være en sammenhæng størrelsesmæssigt, så man slipper for, at virksomhederne spekulerer i at lade være med at have ordentlig sikkerhed og så bare tager en bøde. Det skal være sådan, at man vælger de kriminelle fra og lovgivningen til,« understreger han og forklarer, at han i løbet af forhandlingerne har hørt, at virksomheder overvejer at ignorere loven, fordi det er billigere at bryde den:
»Ganske ofte har det været sådan, at virksomhederne spekulerer i at lade være med at lave investeringen i sikkerhed. Hvis de så er uheldige at blive ramt, så betaler de løsesummen, de fortæller det ikke til nogen, og så er der ikke nogen, der opdager det. Så kan de leve videre, og så er det bare en omkostning, man må tage i dummebøde.«
Men den fremgangsmåde bliver sværere, når der fremover bliver ført tilsyn med, om virksomhedernes it-sikkerhed lever op til NIS2.
»Det kan ikke nytte noget, hvis man skal forholde sig til en lovgivning. Så skal det på en eller anden måde være sådan, at man også ved, at det er forbundet med en vis risiko ikke at følge loven. Derfor er vi nået frem til dét bødeniveau.«
Nu skal direktivet officielt vedtages – som ifølge Europa-Parlamentet sandsynligvis kommer til at ske i starten af juni – og så har Folketinget omkring 21 måneder til at komme i mål med den nationale lovgivning på området.
Læs hele interviewet med Morten Løkkegaard på ComplianceTech i morgen tidlig, hvor han sætter fokus på, hvad regioner og kommuner kan forvente sig af NIS2.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
