To år til større krav og bødestraffe: »NIS2 må ikke blive en sovepude«

Illustration: MaxSafaniuk | Bigstock
Det nye foreslåede cyber- og informationssikkerhedsdirektiv træder tidligst i kraft om to år. Men med udvidede krav, flere omfattede sektorer og potentielle bødestraffe bør direktivet være på dagsordenen allerede nu, mener erhvervsjuridisk rådgiver Emil Bisgaard.

Med danske Morten Løkkegaard (V) som chefforhandler diskuterer Europa Parlamentet lige nu ordlyden i et direktiv, der i løbet af de kommende år bør fylde lige så meget på CISO’ens skrivebord og i topledelsens prioriteringer, som persondataforordningen har gjort det op til og siden maj 2018.

Det er i hvert fald den klare opfordring fra erhvervsjuridisk rådgiver og partner hos Poul Schmith/Kammeradvokaten Emil Bisgaard, når snakken falder på det nye NIS 2-direktiv:

Emil Bisgaard er uddannet fra Syddansk Universitet i 2011 og har siden da arbejdet som juridisk rådgiver, de sidste ti år hos Poul Schmidt/Kammeradvokaten med halvandet år som partner. Emil Bisgaard er specialiseret i krydsfeltet mellem jura og cyber- og informationssikkerhed. Han har bl.a. stor erfaring med implementering af cyber- og informationssikkerhed i it- og teknologikontrakter og håndtering af regulatoriske krav til cyber- og informationssikkerhed fx i konteksten af NIS-direktivet og GDPR. Du kan høre mere om hans syn på det forestående direktiv på Infosecurity 2021. Illustration: Poul Schmith

»Det kan i virkeligheden godt vare to år, før reglerne får effekt for virksomhederne. Men lige nu er jeg lidt nervøs for, at det bliver en sovepude,« forudser han.

NIS 2 skal ensrette og højne niveauet for cyber- og informationssikkerhed på tværs af EU’s medlemslande. Og om alt går vel, kan et lovforslag om direktivet være endeligt formuleret og efterfølgende vedtaget omkring årsskiftet.

Det vurderer Emil Bisgaard, som forklarer, at der herefter vil være 18 måneders implementeringstid, inden det nye og udvidede direktiv træder i kraft. Måneder, der for fleres vedkommende skal udnyttes til fulde for at leve op til direktivet, hvis du spørger Emil Bisgaard:

»Jeg kan godt forstå, at man tænker, ‘noget, der kommer om to år, det skal vi ikke arbejde med lige nu’. Men problemet er bare, at hvis man ikke allerede er i gang med at arbejde struktureret med cyber- og informationssikkerhed, så er to år ikke så lang tid.«

Big deal, bødestraf og bredt sigte

NIS 2-direktivet skal afløse de første EU-retlige regler for cyber- og informationssikkerhed, NIS 1, der blandt andet stiller krav om nationale cybersikkerhedsstrategier, og at særligt samfundskritiske sektorer skal efterleve krav om risikostyring.

Men forældelsesfristen for, hvad der er et tilstrækkelig cybersikkerhedsniveau, synes kort, og trods NIS 2’s forgænger kun har været gældende i tre år, er den allerede uddateret på flere områder. Eksempelvis i sin formulering af, hvilke sektorer der skal være omfattet:

»I det nye direktiv er der en væsentlig udvidelse i bredden af sektorer. I NIS 1 havde man i første omgang kun slået ned på de allermest kritiske sektorer, men der er flere sektorer, som er vigtige, hvis ikke samfundet skal lide skade,« siger Emil Bisgaard.

Han forklarer, hvordan EU’s medlemslande selv har skullet udpege, hvilke særligt samfundskritiske organisationer og tjenesteudbydere der skal efterleve NIS 1-kravene. Med det nye direktiv er alle virksomheder i en række essentielle og vigtige sektorer inkluderet, medmindre de er meget små:

»Så antallet af omfattede virksomheder er meget større. Og oven i kommer så skærpede krav til sikkerheden og bødestraf. Derfor tror jeg, at det bliver en big deal.«

De halvstore virksomheder kan få travlt

Og mens flere store organisationer i eksempelvis transportsektoren, vandsektoren og energisektoren allerede er godt på vej med sikkerhedsarbejdet som følge af blandt andet NIS 1, er det ikke sikkert, at eksempelvis en mellemstor fødevareproducent er samme sted med sin sikkerhed:

»Hvis du er en halvstor virksomhed, og du slet ikke har lavet risikovurderinger og udviklet din informationssikkerhedspolitik, eller du ikke har overblik over din it-infrastruktur og din systemportefølje, så du ikke ved, hvor data ligger, eller hvilke sikkerhedsforanstaltninger du har etableret - hvis du er der, så er der virkelig lang vej,« siger Emil Bisgaard og drager en parallel:

»Folk havde rimeligt travlt, efter GDPR blev vedtaget. Det var heftigt, frem mod det trådte i kraft. Det er sådan et forløb, jeg godt kunne håbe, blev anderledes den her gang.«

Skelen til GDPR

Netop paralleller til persondataforordningen og dens implementering er helt oplagte. For det første blev det nuværende NIS-direktiv netop indført samtidig med GDPR i maj 2018, selvom forordningen med Emil Bisgaards ord »mildest talt tog alt opmærksomheden«.

For det andet betyder udvidelsen af sektorer med NIS 2, at langt flere virksomheder skal forholde sig til informationssikkerhed, ligesom det var tilfældet med GDPR og persondata. Men hvor GDPR gælder for alle, uanset størrelse og eksisterende sikkerhedskompetencer, kommer NIS 2’s formulering om en minimumsstørrelse på omfattede virksomheder til at have betydning for, hvor godt direktivet bliver efterlevet:

»Ser man på, hvilke sektorer der er omfattet af NIS 2, tror jeg, at det bliver en stor opgave, men omvendt også en opgave, man godt kan løse. Hvor jeg tror, at med GDPR var der simpelthen virksomheder, som følte, at de simpelthen ikke kunne leve op til kravene,« siger Emil Bisgaard.

Sidst, men bestemt ikke mindst, vil NIS 2 med indførelsen af mulig bødestraf ved overtrædelse af kravene få direktivet til at minde langt mere om GDPR. Det kan ifølge den erhvervsjuridiske rådgiver sætte rigtigt godt skub i direktivets udbredelse:

»Der er rimeligt bred enighed om, at grunden til, at GDPR har fået så meget luft under vingerne, er, at bødesanktionen i GDPR bliver taget alvorligt i ledelsen.«

En bøde, der er til at forstå

Mens der i det nuværende NIS-direktiv er en vag formulering om medlemslandenes pligt til at sikre passende sanktionering, vil der med NIS 2 kunne afgives bøder svarende til op mod 2 procent af en virksomheds globale omsætning eller 10 mio. euro ved overtrædelse af direktivets krav.

»Pointen er, at der kommer nogle bøder, som folk forstår,« siger Emil Bisgaard.

Når der på den måde bliver sat en tyk streg under vigtigheden af at efterleve direktivet, tror Emil Bisgaard også, at cyber- og informationssikkerheden vil få en helt anden ressourcemæssig prioritering i de fleste ledelser.

EU-kommissionens forventer da også en stigning på 22 procent i udgifter til denne slags it-sikkerhed for de nye sektorer i NIS 2, hvorfor det er helt nødvendigt, at sikkerhedsarbejdet er forankret i ledelsen:

»Det vil kræve både store og små projekter at komme i compliance med NIS 2, og det vil kræve vedligeholdelse bagefter. Det siger næsten sig selv, at det kræver en ledelse, der afsætter nogle årsværk til arbejdet eller afsætter midler til eksterne konsulenter i et midlertidigt compliance-projekt og herefter ét eller to årsværk til vedligeholdelse i årene efter,« fastslår Emil Bisgaard.

Du kan høre mere om NIS 2, når Emil Bisgaard taler om det nye direktiv på dette års InfoSecurity-messe.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere