NIS2 var planlagt til at træde i kraft fra oktober 2024. Nu er fristen udskudt. I første omgang et halvt år. Det kan man så mene, hvad man vil om. Jeg frygter mest, at mange vil tænke: “Pyha, sikke en lettelse. Så behøver jeg ikke forholde mig til NIS2 endnu”. Jeg kan godt forstå, at det er fristende at bevare status quo og fortsætte, som man plejer. Der er jo travlt nok i forvejen. 

Men, som advokat Frans Skovholm fra Dahl Advokater skriver i sin klumme her i ITWatch, så tænk jer nu alligevel om en ekstra gang derude, inden I vælger at udskyde it-sikkerhedsindsatsen, til NIS2 rent faktisk banker på døren. Når fristen er udskudt, er det jo ikke fordi, der er noget galt med NIS2 direktivet, eller man overvejer, om det ikke skal indføres alligevel. Nej, det skyldes udelukkende den store kompleksitet i Forsvarsministeriets og siden Folketingets arbejde med lovforslaget og dennes implementering. 

Du kan ikke vente og lade stå til

Det overordnede formål med NIS2 er at øge it-sikkerhedsniveauet for hele den kritiske infrastruktur i Danmark og resten af Europa. Og da vi er et af verdens mest digitaliserede lande, er det absolut en nødvendighed, at sikkerhedsniveauet følger med. Modsat Frans Skovholm, der med sin klumme primært forsøger at råbe it-virksomhederne op, vil jeg henlede opmærksomheden til alle virksomheder. Det er korrekt, at it-virksomhederne naturligt står forrest som spydspidser, da de ofte fungerer som rådgivere eller har direkte adgang til deres kunders it-systemer. Men det betyder ikke, at alle andre virksomheder kan vente og lade stå til, indtil NIS2-kravene banker på deres dør. Uagtet om virksomheden er direkte påvirket, eller indirekte påvirket via et leverandørled til NIS2-omfattede virksomheder. 

Stort set alle virksomheder er i dag afhængige af én eller flere digitale løsninger, som, hvis de sættes ud af drift, vil få alvorlige konsekvenser for virksomheden og samfundet i øvrigt. Der er derfor mange, gode grunde til ikke at lade NIS2-udskyldelsen være en undskyldning for at udskyde arbejdet med at øge sikkerhedsniveauet i sin virksomhed, uanset om der er tale om en it-virksomhed eller en hvilken som helst anden type virksomhed. Her er tre af dem: 

For virksomhedens og samfundets skyld

Den første grund er, at det jo ikke er for NIS2 direktivets eller EU’s skyld, at man skal være compliant. Det er for virksomhedens og samfundets skyld. Trusselsniveauet i Danmark er allerede meget højt, og har været det i årevis. Virksomheder bliver ramt af angreb hver eneste dag. Nogle angreb hører heldigvis til i den milde ende og får ikke så voldsomme konsekvenser for de ramte virksomheder. Men andre har en så ødelæggende effekt, at den ramte virksomhed ikke overlever. 

Den anden grund er, at der er mangel på dygtige it-sikkerhedsfolk. Der er rift om de dygtigste, de bliver naturligvis booket først. Hvis du venter for længe med at komme i gang, er det måske slet ikke muligt med kort varsel at få fat i de it-sikkerhedsfolk, du gerne vil have. Og hvorfor også vente? Der er ikke noget, der ændrer sig. Trusselsbilledet bliver ikke mindre alvorligt, og NIS2-kravene bliver ikke trukket tilbage. Så det er kendt stof, man skal i gang med. 

For det tredje så er et halvt år meget kort tid. Inden du får set dig om, er tiden gået, og du ender med at få rygende travlt med at nå i mål med sikkerhedsarbejdet. Glæd dig i stedet over, at du har fået et halvt år forærende, så du nu kan tage tingene mere roligt og grundigt. Udnyt tiden nu, hvor du kan nå at alliere dig med de sikkerhedseksperter, du har tillid til. Sammen kan I i ro og mag gennemgå processer, rutiner og systemer, og finde frem til hvilke, der har brug for en opdatering. 

Desuden er IT-Branchen allerede gået live med deres eget NIS2 Vejledningsunivers. Det betyder, at du kan arbejde mod at blive compliant, inden det egentlig kræves. Det er der absolut ikke noget dukset i. Det er derimod på alle måder sund fornuft – også for virksomheder, der ikke nødvendigvis har it som deres kernekompetence.