Lad mig starte med at sige, at vi i Dansk Erhverv fuldt ud anerkender behovet for regulering som et (blandt flere) nødvendige redskaber til bedre informationssikkerhed. Der er også brug for andre incitamenter, herunder vejledning og adgang til ressourcer.
Skrevet af: Christian von Stamm Jonasson, Chefkonsulent Dansk Erhverv
Men forestillingen om, at vi i erhvervslivet er imod regulering, er ikke rigtig. Heller ikke ift. cybersikkerhed. Det handler om at sikre god regulering, som skaber klarhed, stiller de nødvendige krav – men samtidig ikke gør det urealistisk og alt for vanskeligt for virksomhederne. For så er vi lige vidt. I foråret 2018 kom det første NIS-direktiv, som udpegede de samfundskritiske sektorer og stillede krav til, hvordan virksomheder og myndigheder, der faldt ind under denne kategori, skulle sikre sig mod it-kriminelle og statsstøttede hackergrupper, som vi har set operere i stor stil i forbindelse med krigen i Ukraine. Og lige om lidt kommer det udvidede NIS2-direktiv, som både stiller nye krav, indfører nye sanktioner og omfatter flere virksomheder.
Fra Dansk Erhvervs side mener vi, der skal findes en hårfin balance. På den ene side må vi erkende, at det ikke har været tilstrækkeligt med awareness-kampagner og incitamenter for at løfte it-sikkerheden i det brede erhvervsliv. På den anden side er vi lige nu i en situation, hvor alt for mange virksomheder ikke ved, hvilke regler de bliver omfattet af, og hvordan den danske implementering af de pågældende regler kommer til at se ud.
NIS2-direktivet er det mest højaktuelle. Vi får dagligt henvendelser om netop NIS2 fra Dansk Erhvervs mange medlemsvirksomheder. Lad mig derfor – mens forhandlingerne om placering af ansvar og opgaver fortsætter i centraladministrationen – her nævne 3 gode råd til, hvordan vi kan få reglerne ud og virke i erhvervslivet på en måde som er realistisk og sikrer det sikkerhedsmæssige løft i virksomhederne, der er behov for. Og dermed samtidig undgår at trække unødigt mange ressourcer væk fra kerneforretningen, og dermed svækker danske og europæiske virksomheders konkurrenceevne.
#1 Afklaring til omfattede virksomheder: for det første skal danske virksomheder have et klart svar fra de ansvarlige myndigheder på, om de bliver omfattet af de nye regler eller ej. Det kan virke mærkeligt, at direktivet skal være implementeret i dansk lov d. 17. oktober og virksomhederne dermed skal være klar til at efterleve kravene dagen efter d. 18. oktober i 2024. Derimod har de danske myndigheder fået helt til april 2025, før der er frist for at sende lister med de omfattede virksomheder til EU-Kommissionen.
Selvom man kunne ønske sig, at vi først fandt ud af, hvem der er omfattet, så er direktivet vedtaget på denne måde. Men man kunne jo ønske sig, at de danske myndigheder ikke udskyder opgaven, men stiller sig selv det ambitiøse (men absolut realistiske) mål, at de skal have listerne med omfattede virksomheder klar senest dette efterår, så virksomhederne kan få klar besked et års tid, inden de eventuelt skal kunne dokumentere deres compliance overfor tilsynsmyndighederne.
#2 Harmonisering: for det andet er der det evigt tilbagevendende spørgsmål om, hvordan vi får europæiske direktiver til at blive ensartet implementeret.
Med NIS2-direktivet er der endvidere et spørgsmål om sektorharmonisering, så vi har en situation, hvor virksomheder med aktiviteter i flere lande og/eller sektorer kan risikere at blive mødt med forskellige krav og tilsyn. Ift. sektorerne kræver det, at der træffes nogle svære beslutninger i den danske centraladministration, men vi ser meget gerne, at CfCS rækker ud til vores nabolande, så fx transportfirmaer ikke skal forholde sig til forskellige regler, når de krydser landegrænser.
#3 Sikkerhed i værdikæden: det tredje og muligvis største dilemma handler om et af kravene i NIS2-direktivet, som pålægger virksomhederne at sikre deres værdikæde. Det er en notorisk svær disciplin indenfor arbejdet med it-sikkerhed i forvejen, og det bliver ikke lettere af, at der ikke (endnu) findes værktøjer, som gør denne opgave nemmere at gå til for virksomhederne.
Fra dansk side har vi et redskab i D-mærket, der både kan bruges internt til at sikre at man i sin egen virksomhed lever op til minimumskravene i direktivet – og samtidig kan fungere som en god måde at kommunikere dette til sine kunder. I Dansk Erhverv samarbejder vi med de øvrige partnere om at tage medansvar for styrket cybersikkerhed. Håbet er, at D-mærket kan blive en rollemodel, der kan bruges og danne skole i resten af EU.
Vi står med cybertruslen overfor en kæmpe opgave, som kalder på et tæt offentlig-privat samarbejde. Heldigvis er vi allerede i dialog med flere sektormyndigheder, og viljen er til stede. Nu mangler vi så bare at se noget fremdrift – bl.a. en afklaring af ansvarsfordelingen, så der kan blive sat skub i implementeringen og opgaveløsningen.
Dertil kommer NIS2-direktivet til at sætte endnu mere spotlys på den kæmpe mangel på it-relaterede kompetencer i Danmark, når man i både it-sikkerhedsvirksomhederne og i den bredere rådgivningsbranche har erkendt, at det ikke er muligt at betjene alle de potentielle nye kunder, der får brug for hjælp. De nye regler har et prisværdigt mål – nu skal vi sammen finde ud af, hvordan vi kan nå det.
