Webinar om NIS2: Bliv klogere på EU’s nye cybersikkerhedskrav

Kort om NIS2

I maj i år vedtog Europa Parlamentet det nye NIS2-direktiv, som snart vil pålægge en lang række europæiske virksomheder og offentlige institutioner nye og strenge krav til informationssikkerheden. Ligesom med GDPR, så er der tale om store bøder for de virksomheder, som ikke lever op til direktivets krav, og det er derfor essentielt, at få styr på NIS2.

Hvorfor er det interessant?

Først kom GDPR. Nu kommer NIS2 (red. Network and Information Security). Europa-Parlamentet og Det Europæiske Råd er blevet enige om det nye IT-sikkerhedsdirektiv, som skal være med til at sikre, at europæiske virksomheder opfylder nogle udstedte minimumskrav til it-sikkerhed. Brud på reglerne vil resultere i store økonomiske sanktioner. 

I december 2020 udgav den europæiske kommission et direktivforslag til NIS2, og Europa-Parlamentet blev tidligere på året enige for retningen mod nye, strengere IT-sikkerhedskrav for virksomheder placeret i Europa.  

Direktivforslaget kom på baggrund af en revurdering af det forhenværende NIS-direktiv fra 2016, som var den første EU-dækkende lovgivning, som sætter krav til de europæiske virksomheders IT-sikkerhed. Disse krav vil med NIS2 blive skærpet grundet den støt stigende cybertrussel, og NIS2 kommer især med én stor ændring. 

 “De krav, som der lå i NIS1, er ikke høje nok i forhold til den it-trussel, som man ser i dag. Det er ligesom med persondataloven, som vi havde før GDPR. Der var ikke nogen konsekvenser ved at overtræde den. Én af de grunde til, at GDPR bliver håndhævet, det er jo truslen om de økonomiske sanktioner. Det er den store forskel på NIS1 og NIS2, at man siger, at man i NIS2 også vil opkræve seriøse bøder, hvis regulativerne ikke bliver overholdt” forklarer Karsten Dahl Vandrup, IT-sikkerhedsekspert og konsulent hos ChangeGroup. 

De nye NIS2-foranstaltninger vil betyde, at sanktionshammeren vil ramme hårdt, hvis danske virksomheder ikke følger de kommende krav. Helt konkret vil det kunne resultere i sanktioner på op til 10 millioner euro eller to procent af virksomhedens samlede globale omsætning.  

“Det betyder, at vi skal have løftet bunden op på det niveau, som EU kræver, og det er jo rigtigt, som nogen siger, at det kommer til at koste noget. Men det gør det jo bestemt også at lade være” forklarer Karsten og uddyber: 

“I dag går pengene jo så bare til de it-kriminelle, og så kan man jo så diskutere, om det skal være sikkerhedsfolk eller it-kriminelle, som skal tjene pengene. Og så vil man ikke stå frit til skue for en kriminalitetsform og for en række hardcore kriminelle, som i dag tjener pengene på det” understreger Karsten.  

Antallet af danske virksomheder, som bliver ramt af et cyber attack, er voksende. Samtidigt viser rapporten ‘Assessment on the Status of Cybersecurity in Denmark’, udarbejdet af ITU, SDU og Center for Cybersikkerhed, at de danske virksomheder har alarmerende lav opmærksomhed på IT-sikkerhed.