NIS2 direktiv vedtaget: Sensommer 2024 stilles der større krav til virksomheders cybersikkerhed
NIS2 – det nye net- og informationssikkerhedsdirektiv – er her medio november formelt blevet vedtaget i EU. Nedtællingen (21 måneder) til at direktivet får virkning begynder formentlig i februar, når direktivet har været igennem en intern EU-proces og offentliggøres i EU-Tidende – the Official Journal of the European Union. Så nu skal der for alvor sættes fokus på den nationale implementering. Det vil sige, at vi i Danmark præcist skal finde ud af, hvilke virksomheder der er omfattet af reguleringen, hvilke krav de skal leve op til ud over minimumskravene, hvad kravene betyder i praksis, og hvordan der skal føres tilsyn med kravene. Reelt set er ovenstående overhovedet ikke afklaret på nuværende tidspunkt.
Grundlæggende er NIS2 en god idé. I DI Digital vil vi gerne have, at der er den nødvendige cybersikkerhed i vores samfundskritiske infrastruktur. Det gælder bare om, at reguleringen baseres på risikovurderinger, at der ikke skabes unødigt bureaukrati, og at vi ikke kommer for sent i gang.
Det sidste er væsentligt, fordi der - som det fremgår ovenfor – fortsat er mange ubekendte, og fordi en af erfaringerne fra implementeringen af GDPR er, at det er vigtigt, at der er kommunikation og vejledning til virksomhederne i god tid inden, de skal leve op til reguleringens krav. Apropos GDPR er der mange paralleller mellem GDPR og NIS2, men der er også mange forskelle. Den væsentligste forskel er, at mange omfattede virksomheder vil være godt på vej allerede nu og ikke står med en bog med blanke sider, som skal udfyldes.
Med det in mente er det værd at bemærke, at det heller ikke er afklaret, hvilke myndigheder der kommer til at være de danske nationale, kompetente myndigheder. Det er heller ikke afklaret, om vi fortsætter med det rene sektoransvarsprincip - og omkring 16-18 ministerier, hvor hvert enkelt ministerium skal fastsætte krav og føre tilsyn med kravene inden for deres egen sektor. Alternativet er en centraliseret implementering, hvor f.eks. Center for Cybersikkerhed kommer til at fastlægge samtlige krav, sikre efterlevelse og føre tilsyn på tværs.
Vi ønsker så vidt muligt en central implementering i Danmark. Vi er et lille land, og det giver ikke mening, at over 16 myndigheder skal opbygge samme kompetencer og organisation og tage stilling til enslydende udfordringer. Og det giver ikke mening, at virksomheder potentielt skal forholde sig til forskellige krav og tilsyn, hvis de er omfattet af mere end én sektor. Og det giver slet ikke mening, at så mange forskellige myndigheder unødigt skal kæmpe med hinanden og den private sektor om de rette kompetencer, som der i forvejen er stor mangel på.
Det korte budskab lige her og nu er, at vi ikke skal vente på, at ovenstående er afklaret. DI Digital kommer til at kommunikere løbende om NIS2, og her er tre gode råd til virksomhederne – udover at tage D-mærket:
- Gå i gang allerede nu, hvis du tror, at din virksomhed er omfattet. God anledning til at få styr på din virksomheds it-sikkerhed.
- Få et overblik over processer, systemer, leverandørkontrakter (og kunder, der potentielt er omfattet af NIS2) og ikke mindst krisestyring og beredskab.
- Involvér ledelsen fra start – ikke bare fordi det er et krav i NIS2, men også fordi NIS2 går på tværs af jura, it-teknik og forretningen.