Europæiske virksomheder er under konstant digital beskydning, og cyberangreb udgør i dag en af de alvorligste trusler af alle mod erhvervslivet.
Derfor har et nyt regelsæt med udgangspunkt i netop it-truslen enorm betydning og voldsomme konsekvenser for dansk erhvervsliv. Fremadrettet skal medlemslandene nemlig sikre, at virksomheder, der betragtes som særligt vigtige, sikre deres netværk og it-systemer langt bedre.
Men hvornår reglerne træder i kraft er endnu uvist.
Det er nemlig et af stridspunkterne i et forhandlingsmæssigt trekantsdrama mellem EU-kommissionen, EU-Rådet og Europa-Parlamentet. I Bruxelles’ mødelokaler og politiske korridorer slibes og poleres der på det kommende NIS2-direktiv, der afløser det nuværende sæt regler fra 2016.
De nye regler kommer til at stille langt strengere krav til de danske virksomheder, der vil møde øgede krav til risikostyring og, at man indberetter, når man har været udsat for en sikkerhedshændelse. Gør man ikke det, kan man se frem til heftige bøder på samme måde som med GDPR.
»Der er ingen tvivl om, at der på europæisk plan og fra Bruxelles er meget klare forventninger om, at man lever op til den her lovgivning og får et harmoniseret regelsæt, samt at man bliver straffet behørigt, hvis man ikke overholder det,« siger Morten Løkkegaard, der er medlem af Europa-Parlamentet for Venstre og desuden såkaldt chefforhandler på netop NIS2-direktivet og dermed en helt central figur i de nuværende forhandlinger.
Nye krav til toppen
Årsagen til, at det nye regelsæt, der kommer til at omfatte langt flere virksomheder end tidligere, trængte til en opdatering, er, at virksomhederne i langt højere grad i dag end tidligere mærker truslen fra it-kriminelle og andre taskenspillere. Derudover er man generelt blevet mere opmærksom på, at en række virksomheder, der spiller en særdeles kritisk rolle for de europæiske samfund, ikke er beskyttede godt nok.
Herhjemme har vi senest set Energinet, der kontrollerer langt størstedelen af den danske energiinfrastruktur, få klø for at outsource 90 procent af virksomhedens it-systemer uden skelen til den meget høje sikkerhedsrisiko.
»Statsrevisorerne kritiserer, at Energinets manglende håndtering af sikkerhedsrisici før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af forsyningssikkerheden,« skrev Rigsrevisionen i en beretning til Folketinget. En kritik som Energinet ikke er enig i.
»Ingen i verden kan give garantier eller love hacker-sikre systemer, heller ikke Energinet. Men generelt kan jeg sige, at denne aftale skal sikre en effektiv og professionel drift af vores it-infrastruktur og i sidste ende understøtte forsyningssikkerheden af el og gas. Jeg sover roligt om natten, og det kan danskerne også gøre,« konstaterede Torben Thyregod, finansdirektør i Energinet, som reaktion på kritikken.
Direktivet skal blandt andet styrke sikkerhedskravene i EU-landenes kritiske infrastruktur og dertilhørende forsyningskæder, strømline kravene til indberetning af sikkerhedshændelser, øge kravene til håndhævelse af reglerne og ensrette sanktionerne i hele EU.
De inkluderede sektorer dækker over:
- Energi (elektricitet, fjernvarme og fjernkøling, olie, gas og hydrogen)
- Transport (søfart, luft-, jernbane- og vejtransport)
- Bankvæsen og finansielle markedsinfrastrukturer
- Sundhed
- Fremstilling af farmaceutiske produkter (herunder vacciner og kritisk vigtigt medicinsk udstyr)
- Drikkevand og spildevand
- Digital infrastruktur (internetudvekslingspunkter, DNS-udbydere, TLD-navneregistre, udbydere af cloudcomputingtjenester, udbydere af datacentertjenester, net til indholdsdistribution, tillidstjenesteudbydere, og offentlige elektroniske kommunikationsnet samt elektroniske kommunikationstjenester)
- Offentlig forvaltning
- Rumteknologi
- Postvæsen og kurerfirmaer
- Affaldshåndtering
- Kemikalier
- Fødevarer
- Fremstilling af andet medicinsk udstyr
- Computere og elektronik
- Maskinudstyr
- Motorkøretøjer
- Digitale udbydere (onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester)
Det ændrer dog ikke ved, at mængden af sager med virksomheder, der er blevet ofre for cyberkriminalitet, hober sig op. Her på Version2 beskriver vi ofte i detaljer, hvordan eksempelvis dybt følsomme oplysninger havner på de mørkeste afkroge af internettet, eller hvordan store virksomheder simpelthen bliver lammet og lagt i passiviserende greb af hackere. Men det er formentlig kun kradserier i overfladen, vurderer den danske chefforhandler.
»Et af de største problemer i dag er, at tingene ikke bliver meldt ind. Det foregår i tusmørket. Virksomhederne melder det ikke ind, fordi de skammer sig, eller fordi det ikke ser godt ud, at man ikke var forberedt, og så pludselig bliver lagt ned,« siger Morten Løkkegaard, der har været med til hele udarbejdelsen af det fremlagte forslag.
Kigger man uden for Danmarks grænser er billedet meget det samme. Virksomheder på stribe bliver lagt ned af it-kriminelle, der anser det for mere eller mindre risikofrit at angribe og afpresse virksomhederne og true med at offentliggøre værdifuld data om produkter, kunder eller lederkredsen.
Invester dig til overlevelse
Netop reglerne for, hvornår man som virksomhed er forpligtet til at træde frem i lyset og erkende, at man er blevet udsat for en forbrydelse, strammes også betydeligt med det nye direktiv. Og det blot en del af stramningen. Tidligere har det været på brættet, at man skulle kunne gå så langt som til at afsætte topchefer, der blæste på reglerne – men den del er blevet hevet ud af forhandlingerne igen, fortæller Løkkegaard. Det betyder dog ikke, at du som leder i toppen af de berørte virksomheder ikke skal tage opgaven og reglernes alvor seriøst.
»På direktionsgangen og i bestyrelsen skal man være helt anderledes klar over, hvad det her er for en virkelighed. Man skal investere sig til sikkerhed og dermed sin egen overlevelse. Det er ikke et spørgsmål om, at der sidder nogle bureaukrater nede i Bruxelles og gør tingene besværlige. Vi hjælper virksomhederne med at forstå, at for at man kan overleve som virksomhed, skal man foretage de nødvendige investeringer,« siger den danske parlamentariker og uddyber:
»Man skal se i øjnene, at man er nødt til at foretage nogle anderledes og markante investeringer i sikkerheden. Du skal have nogle it-folk, som der i øvrigt er for få af, som du skal betale en relativt høj løn for at sikre, at du har nogle mennesker, der holder øje med de angreb, som virksomheden hele tiden bliver udsat for.«
En absolut nødvendighed
Da GDPR-reglerne blev mejslet i europæisk sten, gik virkeligheden for alvor op for virksomheder og organisationer herhjemme. De knap så forberedte fik travlt. I første omgang med at forstå reglerne og herefter med at finde ud af, hvordan de skulle efterleve dem.
Det samme kan meget vel blive gældende med NIS2-direktivet. Det har blandt andet erhvervsjuridisk rådgiver og partner hos Poul Schmith/Kammeradvokaten Emil Bisgaard udtrykt bekymring for.
»Hvis du er en halvstor virksomhed, og du slet ikke har lavet risikovurderinger og udviklet din informationssikkerhedspolitik, eller du ikke har overblik over din it-infrastruktur og din systemportefølje, så du ikke ved, hvor data ligger, eller hvilke sikkerhedsforanstaltninger du har etableret – hvis du er der, så er der virkelig lang vej,« har han tidligere sagt til Version2.
Selvom de endelige krav endnu ikke er knæsat, så tegner der sig et klart billede af, hvilke tiltag der har gang på jord. Fra Morten Løkkegaards kontor i Bruxelles forlyder det, at tiltagene blandt andet indbefatter en række skrappere krav til risikoanalyser, hændelseshåndtering, værdikædesikkerhed og sikkerhed i forbindelse med anskaffelse af netværk og it-systemer.
Derudover er der lagt op til, at omfattede virksomheder, senest 24 timer efter de er blevet opmærksomme på en sikkerhedshændelse, skal indberette det og følge op med en fyldestgørende rapport for, hvordan hændelsen er sket, og hvad der er gjort for at det ikke sker igen. Følger du ikke reglerne vanker der sanktioner.
Men er NIS2 så ikke bare endnu et compliance-monster, der rejser sig i horisonten foran virksomhederne? – også dem der godt kan finde ud af det her.
»Desværre er der ikke særligt mange, der kan finde ud af det. Hvis de kunne klare det selv, så var vi ikke der, hvor vi er i dag. Der er en nødvendighed i det her, som man bliver nødt til at stille op som præmis. Vi gør jo ikke det her for at genere folk. Vi gør det, fordi der er et behov for det, og fordi det er en nødvendighed. Så man kan diskutere hvordan – men ikke om vi skal gøre det,« lyder det fra Morten Løkkegaard, der understreger, at man forsøger at skåne de mindste virksomheder så vidt muligt.
»Hele antagelsen om, at det her er en skrivebordsøvelse, som vi sidder og laver i Bruxelles, er fuldstændigt forkvaklet. Det her er båret af nødvendighed, og det rækker længere end nogle altmodische markedsbetragtninger. Det er ikke det samme som, at man ikke skal gøre det smart og så lempeligt som muligt. Men det er vi ikke endnu. Lige nu er vi i en fase, hvor vi til at starte med skal have vedtaget noget.«
Hvornår den endelige aftale lander er endnu ikke helt sikkert. Men meget tyder på, at det meget vel kunne være i midten af maj. Derefter vil det også fremgå, hvornår reglerne så skal være implementeret.
NIS2-direktivet har dog allerede tændt de første lamper på lystavlen hos de mest opmærksomme virksomheder og offentlige myndigheder. Men overordnet set flyver direktivet fortsat lavt og ofte under det bredde erhvervslivs radar. Det samme gjorde sig gældende i årene op til, at GDPR-reglerne trådte i kraft.
NIS2-direktiver har derfor (desværre) gode muligheder for at blive endnu en stor udfordring for virksomheder og myndigheder, når alvoren i form af en endelige aftale rammer de hjemlige danske kyster. Uanset om det bliver i maj eller senere på året.
Version2 byder endnu engang it-ansvarlige og -specialister velkommen til to spændende dage i København med 100 seminarer og mere end 3.000 deltagere, der mødes for at blive opdateret på den nyeste viden om it-sikkerhed, cloudløsninger og compliance.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
