“Staten kan give et rap over fingrene fra 2023” – Senior sikkerhedsrådgiver Thomas om NIS2

Det nye Network and Information Systems EU directive (EU-direktiv om netværk og informationssystemer), også kendt som NIS2 er undervejs. Det forventes at blive vedtaget i dansk lov inden udgangen af 2022, hvorefter de berørte sektorer og virksomheder har 21 måneder til at overholde det. Den oprindelige NIS lovgivning kom til i 2018 med den hensigt at styrke beskyttelsen af et lands mest samfundsvigtige virksomheder. Blandt andet i infrastruktur- og energisektorerne. NIS2 har samme mål, men kræver, at flere sektorer deltager i festlighederne.

Lang historie kort: Vi synes at NIS2 er fantastisk! Kom nu, hvem kan ikke lide en god fest.

1    Hvem er berørt nu?

Der er inkluderet flere sektorer end i 2018-versionen af direktivet. Det oprindelige fokus var på åbenlyst kritisk infrastruktur som sundhedssektoren, vandforsyning og digital infrastruktur.

Sectors covered by the NIS Directive: Healthcare, Digital Infrastrucutre, Transport, Water supply, Digital Service Providers, Banking and financila market infrastructure, Energy
Billedkreditering: © European Union, 2020 (doi:10.2759/0630)

NIS2 udvider denne liste over relaterede industrier, som nu bliver omfattet af direktivets anvendelsesområde.

Sectors covered by the NIS2 Directive: Providers of public electronic communications networks or services, waste water and water management, manufacturing of certain critical products (such as pharmaceuticals, medical devices, chemicals), Food, digital services such as social networking services platforms and data centre services, space, Postal and courier services, public administration
Billedkreditering: © European Union, 2020 (doi:10.2759/0630)

En anden nævneværdig ændring er, at før kunne EU-landende selv bestemme, hvilke virksomheder og organisationer der blev anset for at være kritiske nok til at blive forpligtet til at følge NIS. NIS2 giver stadig landene frihed til at definere, hvem der skal følge NIS2 – i et vist omfang. For hvis en organisation er en del af en af disse industrier og har en vis størrelse, efter antal ansatte og årlig omsætning, er den automatisk forpligtet til at overholde NIS2-direktivet. Men selv hvis en organisation er mindre i størrelse, kan den stadig være forpligtet til at følge NIS2, hvis de danske myndigheder finder den tilstrækkelig kritisk.

2   Hvad handler NIS2 så om?

I lidt tekniske termer skitserer NIS2 de minimumskrav, som virksomheder skal leve op til, for at styrke deres cybersikkerhed – eller risikere en bøde.

For eksempel skal virksomheder udvise en risikobaseret tilgang til cybersikkerhed. De skal have sikkerhedspolitikker for deres informationssystemer på plads og etablere hændelses- og krisestyringskapaciteter, herunder rapportering. De skal også bevise et stærkt fokus på værdikæden for virksomhedernes underleverandører – især inden for områder som data- lagring og behandling samt sikkerhedsrelaterede ydelser – for at sikre, at de ikke bliver et svagt led og sætter deres kritiske leverancer i fare. Derudover skal topledelsen i virksomhederne tage et mere direkte ansvar for cybersikkerhed – hvilket vi synes er længe ventet og er spændte på at se udvikle sig i praksis.

Endelig vil rammerne for myndigheders revision af virksomheder blive udvidet. Det vil være muligt at blive idømt bøder eller på anden måde blive straffet administrativt for ikke at leve op til NIS2-forpligtelserne. Altså i bund og grund: Hvis man ikke er god nok til ‘cybersikkerhed’, kan staten give et rap over fingrene fra 2023 og frem.

NIS2 vil kunne ramme virksomheder, der har noget at indhente på cybersikkerhed- og risikostyringssiden. Men hvis vi er ærlige, kan cyberangreb såmænd også ramme sådanne virksomheder.

Vi mener, at det er et længe ventet og nødvendigt skridt at sætte et initiativ som NIS2 direktivet i værk, som vil hjælpe med at kickstarte fundamentale indsatser for cybersikkerhed på tværs af mange organisationer, som i sidste ende vil gavne os alle som borgere i EU.

 

Comparison between the capabilities NIS and NIS2, in three dimensions: Greater capabilities, Cooperation and Cybersecurity risk management.
Billedkreditering: © European Union, 2020 (doi:10.2759/0630)

3    Hvad nu?

Virksomheder bør altid sikre, at de har et tilstrækkeligt niveau af cybersikkerhed. NIS2 eller ej. Men med det kommende fokus på NIS2 bliver mange virksomheder nødt til at sikre sig, at de er på toppen af deres cybersikkerhed.

Vi ved, at det er meget fristende at beslutte, at NIS2 ikke vil være relevant for din organisation. Faktisk ser vi allerede denne holdning fra vores kunder, som efter de nye standarder let kan falde inden for standard NIS2-kriterierne. Hvis du har mistanke om, at NIS2 kan blive relevant for dig, foreslår vi, at du:

  • Hold dig orienteret om, hvordan NIS2-direktivet implementeres i dansk lovgivning.
  • Undersøger, hvordan din virksomhed konkret kan blive påvirket.
  • Planlægger og prioriter din indsats, før du forhaster dig ind i et NIS2-initiativ.
  • Undlader at gå i panik.
  • Ring eller mail os til en kop kaffe, hvis du har brug for en ven at tale om NIS2 med.

Tilbage til Oversigten    |    Læs næste    |    English

DK VCS Quarterly