Min postkasse, både den virtuelle og analoge, overbelastes for tiden med NIS2 kursustilbud, der tilbyder at klargøre virksomheder m.fl. til efterlevelse af EU’s krav til cybersikkerhed.
Der går ikke en dag uden modtagelse af tilbud fra det ene firma efter det andet, der opfordrer til at komme i gang, så hurtigt som muligt, med forberedelserne til at kunne efterleve NIS2 direktivet, der blev godkendt i EU i den 10. november 2022, og skal efterleves og være implementeret senest i oktober 2024 i alle EU’s medlemslande. Kurserne er ikke billige, medmindre det er et arrangement og fremstød, der har til hensigt at få kunder i butikken.
I stedet for tidligere 6 sektorer udvides nu til 16, hvor private virksomheder og myndigheder med flere skal efterleve kravene listet i NIS2 direktivet. Berørte og relevante instanser skal træffe passende tekniske og organisatoriske foranstaltninger for at reducere sikkerhedsrisici og begrænse skaderne i tilfælde af en sikkerheds-hændelse.v
Her er listen over de planer og vurderinger m.m., som NIS2 direktivet kræver udført:
1. Risikovurdering og sikkerhedspolitik
2. Plan for håndtering af sikkerhedshændelser
3. Plan for forretningens drift under og efter en sikkerhedshændelse
4. Sikkerhedsvurdering og -foranstaltninger omkring forsyningskæder
5. Sikkerhed omkring indkøb, udvikling og drift af systemer, herunder politikker for håndtering og rapportering af sårbarheder
6. Politikker og procedurer til vurdering af sikkerhedsforanstaltningernes effektivitet.
7. Cybersikkerhedstræning og rutiner for computer-hygiejne blandt medarbejdere.
8. Sikkerhedsprocedurer for medarbejdere med adgang til følsomme eller vigtige data.
9. Brugen af multifaktor-godkendelse, ‘continuous authentication'-løsninger, stemme-, video- og tekst-kryptering, når det giver mening.
Ja. Det er en ordentlig mundfuld. Alt sammen i ønsket om at højne cybersikkerheden i medlemslandende. NIS1 var ikke nok derfor NIS2.
Det forventes og estimeres, at mere end 1400 virksomheder bliver omfattet af direktivet i modsætning til tidligere, hvor NIS1 (kun) berørte ca. 400 virksomheder. Og det bliver dyrt, rigtigt dyrt, at blive compliant, jf EU’s egen økonomiske konsekvensanalyse.
Analyser foretaget af EU selv peger på, at en efterlevelse af direktivet vil betyde mere end en 20 % forøgelse af udgifterne for de ny udpegede sektorer og 12 % flere udgifter til de allerede udpegede seks sektorer. Tal, der naturligvis skal holdes op imod en forventelig og nødvendig styrket cybersikkerhed.
Det formodes, at embedsværket i Danmark, med ansvar for behandling af EU-direktivet, har særdeles travlt med forberedelser og møder. Der er ikke længe til oktober 2023.
I god tid forinden kommer der forhåbentlig et udspil fra regeringen, det ressortansvarlige ministerium og embedsværket, så de berørte instanser og private virksomheder m.fl. kan forberede og forholde sig til, hvordan Danmark har tænkt sig at omsætte direktivet til dansk lovgivning.
Hvorvidt repræsentanterne fra de virksomheder og brancheorganisationer, der rammes af direktivet, allerede er involveret eller inviteret med i arbejdet, vides ikke. Men det sker forhåbentlig. Det ville være meget uheldigt hvis en lov eller bekendtgørelse blev pålagt og indført som en tyv om natten, og alene være et produkt af embedsværkets arbejde.
Danske myndigheder er kendt som duks i EU-klassen, når der skal efterleves bestemmelser (forordninger og direktiver). Ofte stilles større (og dyrere) krav end EU forlanger, og som andre medlemslande tolker lempeligere end Danmark.
En harmonisering af reglerne mellem EU landende bør have den største prioritet, ikke mindst set i lyset af de enorme bøder og sanktioner, der kan komme på tale ved ikke at efterleve bestemmelserne og reglerne. Bøder i størrelsesorden som for GDPR og sanktioner, der også kan medføre at ledelsen afsættes af myndighederne.
Om det bliver i form af en bekendtgørelse eller en decideret lov i lighed med GDPR, vides ikke i skrivende stund, men undersøges nærmere ved bl.a henvendelse til Forsvarsministeriet, der også var ressortansvarlig for NIS1 direktivet.
I de næste 3-4 uger vil jeg følge op på denne blog, hvor flere NIS2 aspekter og konsekvenser belyses i flere omgange. Stay tuned.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
