NIS2: Fodslæbende, ualvorlige myndigheder
De instanser, der har det overordnet ansvar for samfundets og befolkningens data-, it- og cybersikkerhed, er ikke deres opgave voksen.
Gang på gang fortæller Forsvarets Efterretningstjeneste (FE) og Center for Cybersikkerhed (CFCS), at beredskabet og truslen er hævet, og at alle skal tage sagen alvorligt og tage sig sammen, herunder sørge for den nødvendige sikring af den samfundsvigtige og kritiske infrastruktur.
Men Regeringen og især Forsvarsministeriet, hvor FE og CFCS hører under, svigter og er for langsomme og fodslæbende, når det kommer til selv at komme ud af busken og gøre noget ved sagen.
Mangel på seriøsitet og alvor
EU’s NIS2 direktiv har længe været undervejs og i proces i Bruxelles, og det kulminerede med dets vedtagelse den 10. november 2022. Men forarbejdet og udkast har længe forinden været tilgængelig for medlemslandene - cirka et års tid. Så forarbejdet og forberedelserne kunne have været sat i gang for rigtigt længe siden.
Alligevel har myndighederne siddet på hænderne og ved henvendelse gives et lakonisk svar, der i grove træk fortæller, at de stort set ikke er kommet ud af starthullerne endnu.
Det er ikke kun, når det gælder krudt og kugler og Danmarks kampkraft i den fysiske verden, at det er vigtigt at sikre Danmark og dets befolkning, men også og især, når det kommer til beskyttelse af samfundet og den enkelte borger i cyberspace, taget de mange hændelser og angreb, som Danmark dagligt udsættes for, i betragtning.
Men det preller af som vand på en gås. Vi får alle læst og påskrevet om, hvor vigtigt det er at sikre os mod cyberangreb fra blandt andre Center for Cybersikkerhed, der oven i købet stort set klandrer alt og alle for ikke at gøre nok. Men selv er de passive og inaktive, og tager ikke opgaven med at omsætte EU NIS2 direktiv til dansk lovgivning alvorligt.
Det er det, der på godt dansk kaldes hykleri.
Omsættelse af EU's NIS2 direktivet, som vil ramme mere en 1000 danske virksomheder og myndigheder med krav om efterlevelse af regler, der bedre kan sikre Danmark mod cyberangreb, er ikke kommet op i omdrejninger endnu.
Alle er klar undtagen Forsvarsministeriet
Alle står klar i starthullerne, men kan ikke rigtigt komme videre før Forsvarsministeriet har gjort sit hjemmearbejde.
I Version2 har journalist Louise Olifent, skrevet følgende kloge ord:
»De kommende 19 måneder ligger der en stor it-sikkerhedsopgave hos erhvervslivet. I efteråret 2024 træder NIS2-reglerne i kraft i Danmark, og derefter vanker der store bøder til de virksomheder, der ikke lever op til kravene.
Flere er dog tilbageholdende med at gå i gang, lyder det fra flere erhvervsorganisationer. Selvom EU’s lovtekst beskriver, hvilke 18 sektorer reglerne gælder for, kan man ikke oversætte det direkte til en dansk kontekst.
Derfor er mange usikre på, om de ender med at være underlagt NIS2, og den afklaring kommer først, når regeringen er klar med sin konkrete liste over virksomheder og myndigheder, der skal leve op til reglerne.
En melding fra Forsvarsministeriet, som har det koordinerende ansvar for at oversætte NIS2 til dansk lov, giver dog ikke det indtryk, at listen er på trapperne.«
Heldigvis er der andre, der har været mere forudseende, herunder blandt andre Dansk Industris Cyber Afdeling, der allerede i foråret 2022, der på baggrund af det foreløbige NIS2 direktiv, fandt det hensigtsmæssigt og nødvendigt at igangsætte en større undersøgelse og analyse af, hvilke danske virksomheder der kunne forventes at blive omfattet af reglerne i EU’s direktiv.
I en pressemeddelelse fra den 22. februar 2023, står der følgende:
»En ny undersøgelse fra Industriens Fond, konkluderer, at i alt 1.079 virksomheder i første omgang bliver direkte omfattet af det såkaldte NIS2-direktiv, der truer virksomheder, som ikke følger det omfattende regelsæt, med bøder i millionklassen.”
Endvidere står der, ”at det dog langtfra kun de udpegede 1.079 virksomheder, der skal være opmærksomme på at overholde de nye regler. Helt centralt i NIS2-direktivet fremgår det nemlig, at omfattede virksomheder er ansvarlige for, at deres underleverandører også overholder direktivet. Det betyder, at det reelle antal af virksomheder, der kommer til at forholde sig til NIS2-direktiver, mangedobles, vurderer Malene Stidsen, der er ansvarlig for DI’s Cyberprojekter.«
Af forskellige årsager er navnelisten over hvilke virksomheder og firmaer, der er fundet frem til ikke offentlig tilgængelig eller publiceret. Kun analysemetoden og hvor mange virksomheder fra respektive sektorer, der bliver ramt, fremgår af pressemeddelelsen.
Tiden er knap: Fremad - march
Taget i betragtning af at EU’s direktiv skal være implementeret til oktober 2024, er der ikke meget tid til arbejdet, hvis virksomhederne skal være klar og have implementeret de nødvendige og krævede foranstaltninger.
Det er nok allerede for sent, selvom Forsvarsministeriet mod forventning allerede i morgen afleverede, det de burde have gjort for længe siden.
I en Linkedin-tråd, der beskæftiger sig med og omtaler NIS2 direktivet er der kommet mange bemærkninger. Her er en fra Ole Rønn Olsen:
»De har jo da haft rigelig med tid til overvejelser om, hvem der er in og out of scope under det forberedende arbejde / arbejde der kunne gøres uagtet pandemi og russisk aggression - det sidste burde nok nærmere være en katalysator for fremdrift frem for en undskyldning for at have slået telt op i ligegyldighedens bakkede land. Snør nu støvlerne og tag tornysteret på skuldrene, der er en vej og det er fremad - march…«
Jeg kan kun erklære mig enig.
Det er på høje tid at sadle om og lade andre mere kompetente instanser overtage styringen, når det kommer til sikring af civilsamfundet i cyberspace.
Forsvarsministeriet, herunder FE og CFCS magter det ikke. Og henset til at mere end 18 sektorer nu bliver berørt, må fokus på civilsamfundets behov træde i forgrunden.
I en bacheloropgave med overskriften ”Organiseringen af cybersikkerhed i Danmark” skrevet af Morten Hybschmann, Max Pontoppidan og Emil Juel Stephens, som er studerende ved København Universitet, går man metodisk og analytisk til værks og kommer med særdeles gode og praktiske løsninger og anbefalinger.
De tre har undersøgt, hvordan cybersikkerhed af den kritiske infrastruktur er styret og organiseret i Danmark, og hvordan den kan forbedres.
De er kommet frem til blandt andet følgende konklusion:
»Afslutningsvist præges de nuværende ansvarlige myndigheder af en militariseret sikkerhedsdagsorden (som ved CFCS) eller af en omkostningsminimerende og økonomisk dagsorden (som ved DIGST, der før lå under Finansministeriet). Disse dominerende side-dagsordener har ud over ansvars-vakuumet resulteret i samarbejds- og tillidsproblemer, da sikkerheden for den enkelte virksomhed eller myndighed ikke altid står øverst«
De tre forfattere har venligst skrevet et kort resumé på tre sider af deres opgave, som kan anbefales læst.
I næste uge mødes en gruppe til det tredje teammøde, hvor dagsorden er skrivning af ”Kalvebod Brygge Deklarationen”, herunder udarbejdelse af en plan for forelæggelse af deklarationen for relevante politikere, beslutningstagere og andre med interesse for at forbedre sikkerheden i cyberspace for civilsamfundet og dets befolkning.
Tanken og idéen med skrivning af en Kalvebod Brygge Deklaration blev til i forbindelse med afholdelse af en større heldagskonference om cybersikkerhed i IDA’s Kongressal den 10. november 2022.
I den forbindelse blev der aftalt, at konferencen skulle følges op af i alt seks direkte TV-udsendelser fra IDA’s eget TV- studie, der har til hensigt at samle op på konferencens mange gode løsningsforslag og anbefalinger til, hvordan cybersikkerhed i Danmark kan blive bedre end hidtil.
Alt for mange gode konferencer løber desværre ud i sandet og bliver ikke til mere end, hvad dagen bringer. Det var der stor enighed om ikke måtte ske denne gang.
En række gæster har derfor på skift været i studiet, sidste gang den 15. februar 2023, med blandt andre Christoffer Høgsberg Tetzlaff, Leif Jensen, Ditte Vinterberg Weng, Amalie Lyhne, Kasper Skov Mikkelsen, Mette Nikander, John M. Foley, Lauri Almann, Morten Hybschmann og Henning Mortensen.
Det og meget mere skriver jeg om i min næste blog – Stay tuned.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
