Hastværk er lastværk – også når det kommer til cybersikkerhed
DI Digital har gennem længere tid presset på for, at virksomhederne bliver præsenteret for det præcise lovgrundlag for NIS2. I sidste uge kom vores nye minister for samfundssikkerhed og beredskab, Torsten Schack Pedersen (V), med en ny tidsplan for implementeringen.
Siden NIS2-direktivet blev besluttet i EU i 2022, har vi i DI Digital påpeget vigtigheden af at få afklaret de konkrete implementeringskrav for virksomhederne i god tid. Nu står vi i en situation, hvor loven forventes at træde i kraft 1. juli 2025, men hvor vi først får det konkrete lovgrundlag at se fire måneder før. Dette efterlader virksomhederne med en meget kort implementeringsperiode, hvilket jeg mener kan have en uheldig indflydelse på kvaliteten af virksomhedernes cybersikkerhedstiltag.
Det er selvfølgelig positivt, at ministeren vil inddrage virksomhederne i det videre arbejde med at indføre de nye regler herhjemme. Jeg hæfter mig også ved intentionen om at sikre den nødvendige tid til en god og grundig implementering. Men den korte tidsramme omkring implementeringen af NIS2-direktivet indikerer det modsatte og giver anledning til bekymring.
Cybersikkerhed er af afgørende betydning for dansk erhvervsliv. Med et trusselsbillede, som Center for Cybersikkerhed gennem flere år har vurderet til højeste niveau, er der ingen tvivl om opgavens alvor. Netop derfor er det så vigtigt, at implementeringen sker på en måde, der sikrer reelle og varige forbedringer i virksomhedernes cybersikkerhed.
Vi risikerer desværre, at den pressede tidsplan kan føre til en overfladisk implementering. Når virksomheder presses til at implementere komplekse regler på få måneder, er der en reel risiko for, at fokus flytter sig fra at skabe ægte sikkerhed til papirøvelser for at sikre formel compliance. Dette tjener hverken virksomhedernes eller samfundets interesser.
Nogle vil argumentere for, at virksomhederne selv burde være gået i gang tidligere. Men uden kendskab til de specifikke sektorkrav og konkrete standarder er det vanskeligt at foretage målrettede investeringer og ændringer. Mange virksomheder arbejder allerede aktivt med cybersikkerhed, men har brug for klarhed over de præcise lovkrav for at kunne målrette deres indsats.
Det er værd at huske på, at effektiv cybersikkerhed rækker langt ud over tekniske løsninger. Det handler om at implementere nye processer, opbygge kompetencer og ikke mindst skabe en grundlæggende sikkerhedskultur i organisationen. Dette er opgaver, der kræver tid og omtanke at løse ordentligt.
Vores forslag er derfor ganske enkelt: Giv virksomhederne ét år fra offentliggørelsen af de endelige regler, før der indføres tilsyn og sanktioner med risiko for bøder. Dette vil give mulighed for en grundig og effektiv implementering, der højner vores egentlige sikkerhedsniveau.
Vi står over for en utrolig vigtig opgave med at styrke Danmarks cybersikkerhed. Den opgave løser vi bedst sammen ved at sikre en grundig implementering baseret på realistiske tidsrammer.