I december 2020 udgav den Europæiske Kommission et direktivforslag til NIS2 (red. Network and Information Security), og efterfølgende blev Europa-Parlamentet enige om retningen mod nye, strengere IT-sikkerhedskrav for virksomheder placeret i Europa. Direktivforslaget kom på baggrund af en revurdering af det forhenværende NIS-direktiv fra 2016, som er det første stykke EU-dækkende lovgivning, der sætter krav til de europæiske virksomheders IT-sikkerhed. Disse krav vil med NIS2-direktivet blive skærpet grundet den stigende cybertrussel, og NIS2-direktivet kommer især med én stor ændring:
“De krav, der lå i NIS1, er ikke høje nok i forhold til den IT-trussel, som man ser i dag. Det er ligesom med persondataloven, som vi havde før GDPR. Der var ikke nogle konsekvenser ved at overtræde den. Én af grundende til, at GDPR bliver håndhævet, er jo truslen om de økonomiske sanktioner. Den store forskel på NIS1 og NIS2 er, at man siger, at man i NIS2 også vil opkræve seriøse bøder, hvis regulativerne ikke bliver overholdt” forklarer Karsten Vandrup, IT-sikkerhedsekspert.
Hvilke virksomheder er omfattet af NIS2-direktivet?
Antallet af virksomheder, som er indbefattet af NIS2, vil være ti gange større end det antal af virksomheder, som var underlagt NIS1-foranstaltningerne. Virksomheder indbefattet af NIS2 vil blandt andet være fødevare-, forsynings- og transportvirksomheder samt danske kommuner og regioner.
”For at samfundet skal kunne fungere i et landskab med konstant øget cyberkriminalitet, er det essentielt for de danske borgere, at de er sikret mod IT-kriminalitet i forhold til de kommunale opgaver” forklarer Karsten.
Hvad skal din organisation have styr på i NIS2-direktivet?
- Asset management og klassifikation af informationsaktiver.
- Risikoanalyser og sårbarhedsvurdering for informationssystemer.
- Incident Response: Processer for håndtering af informationssikkerhedskriser.
- Udvidet sikkerhedsansvar for underleverandører af både hardware og services – herunder cloudservices, hardware og sikkerhedssoftware.
- Regler for obligatorisk kryptering af kritisk information.
- Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer.
- Sikkerhedsreview og gentagne opdateringer af sikkerhedssystemer.
- Adgangsstyring og separation af opgaver.
Hvad betyder NIS2-direktivet for de danske virksomheder?
De nye NIS2-foranstaltninger vil betyde, at sanktionshammeren vil ramme hårdt, hvis de danske virksomheder ikke følger de kommende krav. Helt konkret vil det kunne resultere i sanktioner på op til 10 millioner euro eller to procent af virksomhedens samlede globale omsætning:
“Det betyder, at vi skal have løftet bunden op på det niveau, som EU kræver, og det er jo rigtigt, at det kommer til at koste noget. Men det gør det jo bestemt også at lade være” forklarer Karsten og uddyber:
“I dag går pengene jo bare til de IT-kriminelle, og så kan man diskutere, om det skal være sikkerhedsfolk eller IT-kriminelle, der skal tjene pengene. Og så vil man ikke stå frit til skue for en kriminalitetsform og for en række hardcore kriminelle, som i dag tjener pengene på det.”
Antallet af danske virksomheder, der bliver ramt af et cyberangreb, er stødt stigende. Samtidigt viser rapporten Assessment on the Status of Cybersecurity in Denmark, udarbejdet af ITU, SDU og Center for Cybersikkerhed, at de danske virksomheder har alarmerende lav opmærksomhed på IT-sikkerhed.
“I dag er det et lotteri, om du bliver ramt af et angreb, og det ville jo være fedt, hvis man sikrede sig sådan, at der blev mindre lotteri over det. Så ja, det koster penge, men det er heller ikke nogen god forretning at spille på lotteri. Desværre. Kun for dem, som har lotteriet, og det er altså de IT-kriminelle” forklarer Karsten.
Hvordan skal de danske virksomheder forberede sig på NIS2-direktivet?
Næste skridt i processen er, at direktivet officielt skal vedtages, hvilket står til at ske i juli 2025. Herefter har det danske folketing 21 måneder til at sætte rammerne for den nationale lovgivning. Det betyder, at de danske virksomheder ikke har lang tid til at trække i regntøjet inden bøderegnen kommer. Karsten forklarer, hvordan man som virksomhed kan komme i læ for både bøder og cyberangreb.
“Jeg synes, at man på ledelsesniveau er nødt til at beslutte, hvordan man laver en sikkerhed, som er ensartet. I stil med, hvordan man sikrer kvalitet på et vist niveau. I kvalitetssikring har man en standard, som hedder ISO 9000. I IT-sikkerhed har vi én, som hedder ISO 27000, og det er en standard, hvor man laver og designer et managementsystem, som har nogle procedurer, som kører hele året, og som hele tiden holder styr på sine trusler, sine sårbarheder og sine risikoer” forklarer Karsten.
Karsten arbejder til dagligt som IT-sikkerhedsekspert, og han mærker den stigende efterspørgsel efter profiler som ham selv.
“Nogle af de profiler, som man som virksomhed bør kigge efter at ansætte er en Chief Information Security Officer, og kan man ikke finde en lignende profil, skal man tage fat i en konsulentvirksomhed, som kan få adgang til de dygtige profiler, fordi de profiler er en kæmpe mangelvare, og man skal ikke vente på, at man kan finde sådanne profiler til ens virksomhed fast, fordi det kan man ikke nødvendigvis” afslutter Karsten.
