I december 2020 udgav den Europæiske Kommission et direktivforslag til NIS2 (red. Network and Information Security), og efterfølgende blev Europa-Parlamentet enige om retningen mod nye, strengere IT-sikkerhedskrav for virksomheder placeret i Europa.
Direktivforslaget kom på baggrund af en revurdering af det forhenværende NIS-direktiv fra 2016, som er det første stykke EU-dækkende lovgivning, der sætter krav til de europæiske virksomheders IT-sikkerhed. Disse krav vil med NIS2-direktivet blive skærpet grundet den stigende cybertrussel, og NIS2-direktivet kommer især med én stor ændring.
“De krav, der lå i NIS1, er ikke høje nok i forhold til den IT-trussel, som man ser i dag. Det er ligesom med persondataloven, som vi havde før GDPR. Der var ikke nogle konsekvenser ved at overtræde den. Én af grundende til, at GDPR bliver håndhævet, er jo truslen om de økonomiske sanktioner. Den store forskel på NIS1 og NIS2 er, at man siger, at man i NIS2 også vil opkræve seriøse bøder, hvis regulativerne ikke bliver overholdt” forklarer Karsten Vandrup, IT-sikkerhedsekspert og konsulent hos ChangeGroup.
LÆS OGSÅ: Change management-ekspert: Omstillingsparathed er tidens største konkurrenceparameter
Hvilke virksomheder er omfattet af NIS2-direktivet?
Antallet af virksomheder, som er indbefattet af NIS2, vil være ti gange større end det antal af virksomheder, som var underlagt NIS1-foranstaltningerne. Virksomheder indbefattet af NIS2 vil blandt andet være fødevare-, forsynings- og transportvirksomheder. Hvorvidt danske kommuner bliver omfattet af NIS2 afhænger af den nationale fortolkning af lovteksten, men vinden peger i retning af, at både kommunerne og regionerne vil blive underlagt den kommende lovgivning.
”Det ville være naturligt, at danske kommuner, der jo håndterer væsentlig infrastruktur og forsyning i Danmark, vil blive indbefattet af dette nye direktiv. Det er essentielt for de danske borgere at de vil være sikret mod IT-kriminalitet i forhold til de kommunale opgaver for, at samfundet skal kunne fungere i det landskab af konstant øget cyberkriminalitet,” forklarer Karsten.
Hvad skal du have styr på i NIS2-direktivet?
- Asset management og klassifikation af informationsaktiver.
- Risikoanalyser og sårbarhedsvurdering for informationssystemer.
- Incident Response: Processer for håndtering af informationssikkerhedskriser.
- Udvidet sikkerhedsansvar for underleverandører af både hardware og services – herunder cloudservices, hardware og sikkerhedssoftware.
- Regler for obligatorisk kryptering af kritisk information.
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer.
- Sikkerhedsreview og gentagne opdateringer af sikkerhedssystemer.
- Adgangsstyring og separation af opgaver.
LÆS OGSÅ: Erhvervslivet skriger efter hænder: Hvad er løsningen?
Hvad betyder NIS2-direktivet for de danske virksomheder?
De nye NIS2-foranstaltninger vil betyde, at sanktionshammeren vil ramme hårdt, hvis de danske virksomheder ikke følger de kommende krav. Helt konkret vil det kunne resultere i sanktioner på op til 10 millioner euro eller to procent af virksomhedens samlede globale omsætning.
“Det betyder, at vi skal have løftet bunden op på det niveau, som EU kræver, og det er jo rigtigt, som nogen siger, at det kommer til at koste noget. Men det gør det jo bestemt også at lade være” forklarer Karsten og uddyber:
“I dag går pengene jo bare til de IT-kriminelle, og så kan man diskutere, om det skal være sikkerhedsfolk eller IT-kriminelle, der skal tjene pengene. Og så vil man ikke stå frit til skue for en kriminalitetsform og for en række hardcore kriminelle, som i dag tjener pengene på det” understreger Karsten.
Antallet af danske virksomheder, som bliver ramt af et cyberangreb, er stødt stigende. Samtidigt viser rapporten Assessment on the Status of Cybersecurity in Denmark, udarbejdet af ITU, SDU og Center for Cybersikkerhed, at de danske virksomheder har alarmerende lav opmærksomhed på IT-sikkerhed.
“I dag er det et lotteri, om du bliver ramt af et angreb, og det ville jo være fedt, hvis man sikrede sig sådan, at der blev mindre lotteri over det. Så ja, det koster penge, men det er heller ikke nogen god forretning at spille på lotteri. Desværre. Kun for dem, som har lotteriet, og det er altså de IT-kriminelle” forklarer Karsten Dahl Vandrup.
SE OGSÅ: NIS2 webinar – Lektion 1: Kom i gang med NIS2 med en risikoanalyse
Hvordan skal de danske virksomheder forberede sig på NIS2-direktivet?
Næste skridt i processen er, at direktivet officielt skal vedtages, hvilket står til at ske i juli 2025. Herefter har det danske folketing 21 måneder til at sætte rammerne for den nationale lovgivning herom. Det betyder, at de danske virksomheder ikke har lang tid til at trække i regntøjet inden bøderegnen kommer. Karsten forklarer her, hvordan man som virksomhed kan komme i læ for både bøder og cyberangreb.
“Jeg synes, at man på ledelsesniveau er nødt til at beslutte, hvordan man laver en sikkerhed, som er ensartet. I stil med, hvordan man sikrer kvalitet på et vist niveau. I kvalitetssikring har man en standard, som hedder ISO 9000. I IT-sikkerhed har vi én, som hedder ISO 27000, og det er en standard, hvor man laver og designer et managementsystem, som har nogle procedurer, som kører hele året, og som hele tiden holder styr på sine trusler, sine sårbarheder og sine risikoer” forklarer IT-sikkerhedseksperten.
Karsten arbejder til dagligt som IT-sikkerhedskonsulent for ChangeGroup, og han mærker den stigende efterspørgsel efter profiler som ham selv.
“Nogle af de profiler, som man som virksomhed bør kigge efter at ansætte er en Chief Information Security Officer, og kan man ikke finde en lignende profil, skal man tage fat i en konsulentvirksomhed, som kan få adgang til de dygtige profiler, fordi de profiler er en kæmpe mangelvare, og man skal ikke vente på, at man kan finde sådanne profiler til ens virksomhed fast, fordi det kan man ikke nødvendigvis” afslutter Karsten Dahl Vandrup.