EU skærper IT-sikkerhedskravene: Det kan også få betydning for din virksomhed
EU's nye NIS2-direktiv skal være med til at gøre samfundet og virksomhederne mere robuste overfor cyberangreb gennem en række krav til store virksomheder og statslige institutioner. Men det betyder også skærpede krav til leverandørerne og kan dermed også ramme mindre virksomheder.
”Man skal arbejde systematisk med at nedbringer risikoen, og man skal have en plan for, hvad man gør når noget ramler,” siger Janus Sandsgaard, der er chefkonsulent i TEKNIQ, om den kommende NIS2-lovgivning.. Foto: Tekniq Arbejdsgiverne
Det handler vist ikke om min virksomhed.
Sådan kan mange ejere af mindre virksomheder godt tænke, når de læser om det nye NIS2-direktiv, der retter sig mod virksomheder i 18 sektorer med flere end 50 ansatte og en omsætning på mere end 10 mio. euro.
Men så enkelt er det ikke, påpeger Janus Sandsgaard, der er chefkonsulent i TEKNIQ. Det vender vi tilbage til.
Det nye NIS2-direktiv – det står for Netværks- og Informations Sikkerhedsdirektiv 2 - er en opdatering af det oprindelige NIS-direktiv fra 2016 og sigter mod at styrke cybersikkerheden på tværs af medlemslandene. Med en øget afhængighed af digitale løsninger og truslen fra cyberangreb - der er taget voldsomt til siden Ruslands angreb på Ukraine - er NIS2 et vigtigt skridt i retning af at beskytte kritiske sektorer og sikre digital robusthed i hele EU.
Og i Danmark spiller direktivet en central rolle, da det stiller strengere krav til virksomheder og organisationer for langt flere virksomheder inden for flere sektorer, hvor det oprindelige NIS-direktiv primært fokuserede på kritisk infrastruktur som energi, transport og sundhed.
Det opdaterede NIS2-direktiv omfatter nu også finanssektoren og forsikringsselskaber, IT-serviceudbydere og cloud-tjenester, fødevareproduktion og distribution, affalds- og spildevandshåndtering og offentlige myndigheder.
For de anslåede omkring 2.000 private og offentlige virksomheder i Danmark, der er direkte omfattet, betyder direktivet skærpede krav til, hvordan de skal beskytte sig mod cybertrusler.
- De skal implementere procedurer til risikostyring og have klare planer for håndtering af cybersikkerhed.
- Virksomhederne skal rapportere om cyberhændelser inden for en stram tidsramme på 24-72 timer afhængig af hændelsernes alvor.
- De skal etablere løbende overvågning og sikkerhedstests for at opdage og imødegå trusler.
Og som noget nyt lægger NIS2-direktivet større vægt på ledelsens ansvar for cybersikkerheden. Bestyrelsen og topledelsen har pligt til at sikre, at organisationen overholder kravene i direktivet. Og gør de ikke det, kan en manglende overholdelse fører til bøder på helt op til 10 mio. euro eller 2 pct. af virksomhedens globale omsætning.
Rammer også mindre virksomheder
Men selvom de mindre virksomheder generelt er undtaget fra NIS2, kan de alligevel blive omfattet indirekte. Det kan de blive, hvis de anses som særlig kritiske, men årsagen vil typisk være en anden.
Det skyldes i virkeligheden kravene til de store virksomheder, forklarer Janus Sandsgaard.
”Hvis en mindre virksomhed f.eks. leverer en pumpe, som den store virksomhed er meget afhængig af – ja så skal den store virksomhed være sikker på, at den mindre virksomhed kan rykke ud, hvis noget går galt. Så går det ikke, at leverandøren ligger underdrejet fordi man ikke havde styr på it-sikkerheden. Det er den slags spørgsmål krav, som underleverandøren skal være forberedt på. Direktivet forlanger faktisk at kunden og leverandøren taler om det” siger Sandsgaard.
Men hvordan de nøjagtige krav bliver, er endnu ikke meldt ud.
”Mindre virksomheder kan forberede sig ved at tage en snak med deres kunder. Måske er kunden slet ikke kommet i gang, men så er det en god idé at lave en plan for, hvordan de arbejder sammen, hvis der sker en sikkerhedshændelse af en eller anden art.
Man skal arbejde systematisk med at nedbringer risikoen, og man skal have en plan for, hvad man gør når noget ramler.
Det er ikke godt nok bare at sige, at man ringer til sin leverandør, hvis det går galt. Man skal have en konkret plan,” fastslår Janus Sandsgaard.
Vi er på kravlestadiet
Og det er en regulering, som Janus Sandsgaard hilser velkommen.
Hen peger på, at vi i Danmark har digitaliseret med syvmileskridt, ”men lavet sikkerhed på kravlestadiet.”
”Vi er et af de mest digitaliserede lande i verden, men på it-sikkerheden er vi langt nede på listen.
Dertil kommer, at den sikkerhedspolitiske situation i øjeblikket er meget alvorligt.
Tidligere handlede det om tyveknægte, der ville stjæle dine penge ved at knuse en rude eller vælte over hegnet.
Nu handler det om bla. om økonomisk it-kriminalitet og politisk sabotage, og dermed befinder vi os i en sikkerhedspolitiske situation, der er anderledes end for bare få år siden.
Vi kan ikke holde til som samfund at være så digitalt sårbare. Det skal vi gøre noget ved. Vi skal gøre samfundet mere robust.
NIS2 handler om at holde Danmark og de øvrige EU-lande flydende,” siger han.
Oprindelig skulle NIS2-direktivet være implementeret i dansk lovgivning den 17. oktober i fjor.
Men arbejdet er blevet udskudt flere gange.
Det betyder, at den konkrete lovgivning først bliver fremlagt i denne måned, mens virksomhederne ifølge Beredskabsministeriet skal være klar til at overholde den nye lovgivning fra 1. juli.
De har således kun 4-5 måneder til implementeringen.
Og Janus Sandsgaard opfordrer virksomheder til ikke at lade den forsinkede lovproces blive en sovepude:
”Virksomheder kan i sagens natur ikke indrette sig 100 pct. på det præcise indhold af en lov, der hverken er fremsat eller vedtaget af Folketinget endnu. Men der findes en ”cybersikkerheden 10 bud”, som dækker det væsentligste i NIS2-direktivet, og som man med fordel kan sætte sig ind i,” siger han.
