Mange danske virksomheder holder i disse dage øje med det kommende NIS2-direktiv fra EU, som lover omfattede krav til it-sikkerheden hos et væld af sektorer.
Opmærksomheden er især blevet skærpet, efter Europa-Parlamentet og Det Europæiske Råd i foråret annoncerede, at man var blevet enige om lovgivningen, og at der skal vanke enorme millionbøder til virksomheder, der ikke overholder reglerne.
Selvom der er lang tid til, at reglerne kommer til at gælde i Danmark, er firmaer allerede gået i gang med at forberede, herunder Siemens og Danish Crown, som Version2 har talt med tidligere.
Men det kan være svært at lægge en plan, når man ikke kender de helt konkrete krav, fortalte Bjarne Lykke Sørensen, adm. direktør i Siemens Danmark til Version2:
»NIS2 er stadig uafklaret, så kunderne er usikre på, hvad det kommer til at betyde for dem. Hvad skal der løftes, og hvad bliver omkostningerne for det?«
Snart bliver det måske lidt lettere at forberede, for EU-Kommissionen færdiggjorde den endelige version af lovteksten i midten af juli, og nu kan Version2 løfte sløret for, hvad direktivet som minimum vil kræve af danske virksomheder.
Minimumskrav til sikkerheden
Direktivet opdeler virksomheder i ‘essentielle’ og ‘vigtige’, hvor der er en forskel i bødeniveau for at overtræde kravene om sikkerhedsforanstaltninger og anmeldelsespligten. Essentielle virksomheder risikerer en bøde på op til 10 millioner euro eller 2 procent af den globale årlige omsætning, hvor vigtige virksomheder risikerer bøder på op til 7 millioner euro eller 1,4 procent af den globale årlige omsætning.
Direktivet gælder for virksomheder i en række sektorer listet i NIS2, herunder energi, fødevareproduktion og rumfart. Hvis det er store virksomheder, er de 'væsentlige', og hvis de er mellemstore virksomheder, er de 'vigtige'.
Derudover er 'væsentlige' virksomheder:
- Kvalificerede “trust service providers” og “top-level domain name registries” og “DNS service providers” uanset størrelse.
- “Public electronic communications networks” eller “publicly available electronic communications services”, som er store virksomheder.
- Et medlemslands centraladministration og regioner.
- Andre virksomheder, der tilhører sektorer på listen, som Danmark har vurderet er kritiske i forhold til at opretholde den nationale sikkerhed.
Loven kræver, at både essentielle og vigtige virksomheder implementerer tekniske, driftsmæssige og organisatoriske foranstaltninger for at kunne håndtere de risici, som truer deres systemer. Det gælder både systemer, der bidrager til forretningens drift og den tjeneste, man leverer, men også for at skåne andre virksomheder eller kunder mod angreb.
Når en virksomhed skal vurdere, hvilke foranstaltninger man skal implementere, skal man tage højde for, hvor udsat virksomheden er overfor trusler og ens størrelse. Man skal også tage med i overvejelsen, hvor sandsynligt det er, at forretningen udsættes for sikkerhedshændelser, og hvor alvorlige de er – især i forhold til deres samfundsmæssige og økonomiske indvirkning.
Virksomheden skal tage højde for ‘state of the art’-teknologi, samt europæiske og internationale standarder. Direktivet indeholder dog en række minimums-tiltag, som man skal implementere.
Foranstaltningerne skal som minimum indeholde:
- Risikovurderinger og sikkerhedspolitikker for informationssystemer
- En plan for at håndtere sikkerhedshændelser
- En plan for forretningens drift under og efter en sikkerhedshændelse, og det betyder, at ens backups skal være opdateret. Man skal også have en plan for at sikre adgang til it-systemer og deres funktioners drift under og efter en sikkerhedshændelse.
- Sikkerhed omkring forsyningskæder og forholdet mellem virksomheden og direkte leverandører. Virksomheder skal vælge sikkerhedsforanstaltninger, der passer til sårbarheder hos den enkelte direkte leverandør. Og så skal virksomheder vurdere det overordnede sikkerhedsniveau for alle leverandører.
- Sikkerhed omkring indkøb af systemer og udviklingen og drift af systemer. Det betyder også, at man skal have politikker for, hvordan man håndterer og indrapporterer sårbarheder.
- Politikker og procedurer for at vurdere, hvor effektive sikkerhedsforanstaltningerne er.
- Cybersikkerheds-træning og en praksis for elementær computer-hygiejne
- Politikker og procedurer for brugen af kryptografi og, når det er relevant, kryptering
- Sikkerhedsprocedurer for medarbejdere med adgang til følsomme eller vigtige data, herunder politikker for adgang til data. Virksomheden skal også have et overblik over alle relevante aktiver og sørge for, at de bliver udnyttet og håndteret ordentligt.
- Brugen af multifaktor-godkendelse, ‘continuous authentication'-løsninger, stemme-, video- og tekst-kryptering og krypteret intern nødkommunikation, når det giver mening.
24 timer til første anmeldelse
Ifølge loven er det ikke nok bare at implementere en række sikkerhedsforanstaltninger. Hvis man bliver udsat for en væsentlig sikkerhedshændelse, skal man anmelde det til en relevant myndighed (som ikke er udpenslet mere konkret i direktivet) eller CSIRT (Computer Security Incident Response Team, som medlemslande skal etablere).
I teksten står der, at en sikkerhedshændelse væsentlig, hvis den kan lede til alvorlige driftsforstyrrelser eller økonomiske tab for virksomheden, eller hvis hændelsen kan føre til betydelige tab for andre.
Den første anmeldelse (early warning) til CSIRT eller den relevante myndighed skal ske senest 24 timer efter, man er blevet bekendt med bruddet. Man skal fortælle, om man mener, at ondsindede aktører er involveret, og om hændelsen kan påvirke andre medlemslande.
Senest 72 timer efter, man har opdaget bruddet, skal virksomheden opdatere (incident notification) den første anmeldelse med en umiddelbar vurdering af hændelsen, hvor alvorlig den er, hvor stor indvirkning den vil have og, hvis de er tilgængelige, kompromitteringsindikatorer.
Senest en måned efter ‘incident notification’ skal virksomheden aflægge en endelig rapport, der som minimum skal indeholde en detaljeret beskrivelse af hændelsen, og hvor alvorlig den er; hvilken type af trussel, der sandsynligvis førte til hændelsen; hvad man har gjort og stadig gør for at forebygge skaden; og hændelsens eventuelle indvirkning uden for Danmark.
Hvis ikke virksomheden er færdig med at håndtere bruddet, når man skal aflægge den endelige rapport, skal man i stedet indsende en statusrapport. Den sidste anmeldelse skal så ske senest én måned efter, hændelsen er afsluttet.
Man skal også så hurtigt som muligt oplyse kunder om, hvad de kan gøre for at forebygge skaden, og så kan man fortælle dem om selve truslen, hvis det er relevant.
Ledelsen kan stilles til ansvar
Lovteksten understreger, at en virksomheds ledelse kan blive stillet til ansvar for brud med sikkerheds- og anmeldelsespligten og skal gennemgå kurser for at blive bedre til at vurdere cybersikkerhedsrisici. Samtidig skal ledelsen opfordre virksomheden til at tilbyde lignende kurser til alle medarbejdere regelmæssigt.
Det er tiltrængt, for lige nu mangler der nemlig it-sikkerhedskompetencer generelt i danske virksomheder, fortalte Jacob Herbst, CTO hos Dubex og formand for IT-Branchens it-sikkerhedsudvalg, til Version tidligere på sommeren:
»Vi har allerede i dag et problem med, at der mangler sikkerhedsfolk, og virksomhederne har svært ved at rekruttere. Det bliver kun forstærket af NIS2, fordi virksomhederne lige pludselig kommer i den situation, at de er tvunget til at hyre folk, som de så ikke kan få fat i. Så på den måde kommer man som virksomhed til at have et stort problem.«
Derfor er flere eksperter enige om, at danske organisationer allerede nu bør forberede sig på kravene, selvom de nok først kommer til at gælde i Danmark om to år.
20 dage efter NIS2 offentliggøres på EU’s officielle portal for lovtekster (sandsynligvis til september, oplyser Europa-Parlamentet), har medlemslandene 21 måneder til at lave nationale bekendtgørelser. Når de er færdige, kommer direktivets regler til at gælde i Danmark.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
