Forsvar i form af cybersikkerhed er kommet i aktuel fokus med cyberangreb på banker og forsyningsvirksomheder fra både kriminelle og fremmede statsmagter i en form for hybrid krigsførelse.

Brugen og dermed afhængigheden af digitale netværk og ydelser er blevet skærpet under coronapandemien, der også har understreget betydningen af at have en velfungerende cybersikkerhed.

Det er da også coronapandemien, der har fået EU til at øge fokus på cybersikkerhed og fremskynde NIS2-direktivet på området.

EU har hidtil reguleret området gennem det første NIS-direktiv, der står for ”The Network and Information Directive” og som blandt skulle regulere cybersikkerhed inden for sundhedssektoren, vandforsyningen, transport, energi og den finansielle infrastruktur.

NIS-direktivet trådte i kraft i 2018, men både den øgede digitalisering og et stigende antal cyberangreb har sammen med meget forskellige fortolkninger i direktivet i de enkelte EU-lande fået EU til at stramme op med det kommende NIS2-direktiv.

Udover sektorerne, som var omfattet af NIS1, vil NIS2 også gælde for f.eks. samfundskritiks produktion som medicin og kemikalier, fødevarevirksomheder, sociale netværk, operatører af el-ladestandere og højere uddannelsesinstitutioner. Det første NIS-direktiv omfattede 7 sektorer, mens NIS2 gælder for 16-18 sektorer.

Vores rådgivning til virksomhederne går ud på at vurdere, hvor forberedt man er på NIS2. Har man f.eks. en beredskabsplan, der kan sikre tilgængeligheden af virksomhedens leverancer?

Ligesom vi så med GDPR, er der et stort efterslæb her.

Nogle af tingene er på plads, men det er i vid udstrækning ad hoc. De fleste har en backup løsning, men mange har ikke testet om de kan gendanne fra deres backup. Hvad sker der, hvis strømmen går, eller virksomheden lukker ned pga. f.eks. brand?

Nedbrud kan både skyldes angreb fra andre stater, kriminelle, aktivister eller på grund af naturkatastrofer. Her er det en god idé at lave beredskabstest og krisestyring. Man skal både overveje, hvordan sikkerheden er i dag, og hvad der kan gøres for at øge sikkerheden, så der sikres en høj grad af modstandsdygtighed og at man derved lever op til NIS2.

Vores råd er, at virksomheden afdækker, hvad de mangler, implementerer de nødvendige tiltag, kontrollerer at de virker og rapporterer til ledelsen om det, da de har ansvaret for, at NIS2 overholdes.

Hvis man som virksomhedsleder ikke har lagt særlig vægt på det første NIS-direktiv, så er der mange grunde til at nærstudere det kommende NIS2-direktiv, der træder i kraft 18-24 måneder efter vedtagelsen. Et godt gæt er, at NIS2 vil komme til at påvirke de omfattede virksomheder lige så meget som GDPR-lovgivningen har påvirket flere virksomheder i dag.

Bødestørrelserne for at ikke at overholde NIS2 er varslet til at ligge på samme niveau som for brud på GDPR – 10 mio. euro eller 2 pct. af den globale omsætning – og her tager man vel at mærke det beløb der er højst. I forhold til GDPR sker der den skærpelse, at ledelsen i en virksomhed kan miste rette til at lede, indtil de har rettet ind. Desuden skal ledelsen jævnligt på kursus i området.

Det er dog vigtigt, at virksomhederne ikke bare ser dette som en nyt regelsæt, men også kigger på formålet, for kan man leve op til reglerne. Man skal beskytte leverancen af ens produkter eller services.

Målet er at beskytte infrastrukturen, så vi som samfund kan sikre de samfundskritiske tjenester som vand, varme gas og transport. Hvis det går galt, er der en forpligtelse i at oplyse brugerne om kritiske begivenheder inden for højst 24 timer.

Det nye direktiv skærper også kravet til tilsynet i de enkelte sektorer, der skal holde øje med efterlevelsen af regler, som fremover også skal støtte virksomhederne i implementeringen. De ansatte i tilsynene skal uddannes til at føre de skærpede tilsyn.

Harmoniseringen af fortolkningen af NIS2-direktivet i de enkelte EU-lande skal ske således:

• Klar definition af, hvilke organisationer der er omfattet
• Konkretisering af krav til sikkerhed, risikostyring og hændelsesrapportering
• Skærpede krav til medlemsstaternes tilsyn
• Tilvejebringelse af effektive minimumssanktioner for overtrædelser

For de mange virksomheder og organisationer, der vil blive omfattet af NIS2, kræves der dokumentation for at der er:

• Gennemført dækkende og aktuelle risikovurderinger
• Implementeret sikkerhedsforanstaltninger som er målrettet risiko, trusler og sårbarheder

Nye love og regler indeholder ofte et element af både pisk og gulerod. Det er f.eks. et krav, at man har sikkerhedssele på, når man kører i bil, men det er jo også for ens egen skyld, hvis ulykken sker.

Det samme gælder NIS2.

Store bøder kan om ikke andet være med til at bringe NIS2 på dagsordenen i den øverste ledelse, men frygt for pisk i form af bøder er ikke specielt produktivt.

I stedet bør man bide mærke i den gulerod, der ligger i at sikre den fortsatte drift af ens virksomhed og dermed overholde NIS2. Vær beredt på at NIS2 bliver lige så kendt, som GDPR er det i dag.

Klumme: Bæredygtigt design og ”right to repair” skal være standard

Klumme: ”Human firewall” er den største trussel mod it-sikkerheden

Klumme: Den offentlige sektor må ikke sakke bagud når det gælder digital suverænitet