Ubarmhjertigt korte frister i NIS2-lovforslag
I sidste uge kom det længe ventede lovforslag til NIS2. Efter lang ventetid er det godt at se, at lovforslaget nu kaster mere lys over det meget omfattende regelsæt, som snart bliver til virkelighed. Men ser man ned gennem lovforslaget, bør en række advarselslamper blinke.
For mens intentionerne bag lovforslaget er prisværdige, risikerer de meget korte implementeringsfrister at underminere hele formålet med NIS2: En styrket cybersikkerhed hos virksomhederne og i det offentlige.
I DI Digital har vi derfor gennem længere tid påpeget nødvendigheden af ordentlig tid til omstillingen, så vi kan skabe reelle forandringer hos virksomhederne og ikke blot complianceøvelser på papir. Desværre må vi konstatere, at fristerne for at efterleve reglerne fortsat er ubarmhjertigt korte.
Skruen strammes yderligere
Lovens ikrafttrædelse den 1. juli giver virksomhederne meget kort tid til at tilpasse sig – især i lyset af at de endelige sektorbekendtgørelser efter planen først skal ligge klar i juni. I lovforslaget strammer regeringen tilmed skruen yderligere og forkorter eksempelvis fristen for at registrere sig som omfattet af loven – fra tre måneder til blot to uger.
Så mens regeringen selv havde brug for ekstra tid i efteråret til at sætte sig ind i den omfattende og komplekse lovgivning, forventer man nu, at virksomhederne kan implementere omfattende ændringer i et urealistisk tempo.
Samtidig er der fortsat stor uklarhed om, hvem der er omfattet af loven. Det gælder både hos dem, der direkte omfattes af loven, og dem, der omfattes indirekte som underleverandører, da der stadig er tvivl om, hvordan forsyningskædesikkerheden skal forstås. Det øger desværre risikoen for overimplementering, da vi forventeligt kommer til at se mange myndigheder og virksomheder sende uforholdsmæssigt mange krav ned i forsyningskæden af bekymring for ikke at leve op til kravene.
En kæmpemæssig opgave
Virksomheder, myndigheder og nu også kommunerne står over for en kæmpemæssig opgave med at efterleve kravene og sikre, at cybersikkerheden styrkes over hele linjen.
Ministeriet for Samfundssikkerhed og Beredskab har selv estimeret, at erhvervslivet ser ind i omstillingsomkostningerne på op mod 5,7 mia. kr. og løbende omkostninger på næsten 4 mia. kr. om året som følge af lovforslaget. Den slags implementeringsbyrder kræver, at regeringen træder til med konkret hjælp og vejledning – og det haster. Særligt presserende er behovet for de lovede værktøjer, der kan hjælpe virksomhederne med at afklare, om de overhovedet er omfattet af NIS2.
Heldigvis har vi på det seneste set en opblødning i forhold til de kommende tilsyn, hvor ministeren i flere Folketingssvar har understreget, at det vil være naturligt ikke at hive blødeblokken frem som det første. Det har vi i DI kæmpet for, og derfor er vi naturligvis glade for at se en vis lydhørhed i forhold til opgavens omfang. Samtidig må vi konstatere, at det er overordentligt svært for virksomhederne at navigere efter så vage vendinger - særligt i lyset af de meget voldsomme håndhævelsesbeføjelser i loven.
NIS2 har potentiale til at blive en meget vigtig brik i løftet af vores fælles digitale sikkerhed. Men det er kun med tid til at implementere og tilstrækkelig vejledning, at vi kan opnå den reelle styrkelse af cybersikkerheden, som Danmark har brug for.