Sponseret indhold

Implementering af NIS2 handler om meget mere end blot teknologi

Af:

Det nye NIS2 EU-sikkerhedsregulativ er fint og godt, men implementeringen kræver både en fast og en konsekvent hånd. Det mener en af it-branchens sikkerhedseksperter, der frygter, at tiden frem mod regulativets ikrafttræden i 2024 vil blive forvirrende for mange virksomheder. Konsekvenserne bliver mange, hvis ikke virksomhederne får styr på NIS2.

I midten af 2024 træder en ny udgave af EU’s Net- og Informationssikkerhedsdirektiv, NIS2, i kraft. Det regulerer virksomheder og myndigheder på cyber- samt informationssikkerhedsområdet og kommer til at omfatte en række sektorer, der ikke tidligere har været omfattet af regulering. Blandt andre sektorer inden for fødevarer, spildevand og affald samt udvalgte sektorer i fremstillingsindustrien.

Det udvider kravene til og sanktioneringen af it-sikkerhed og betyder, at langt flere danske virksomheder end tidligere skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn. Hvis man spørger Torben Clemmensen, der er IT Security Specialist & PreSales Engineer i VIPRE Security Group, er han rigtig glad for det nye direktiv. Lovgivningen er god, mener han, men samtidig er han bekymret for, hvorledes den skal implementeres, hvilket kan skabe en række alvorlige konsekvenser for virksomhederne.

Lovgivningen kan fortolkes
”Med det mener jeg, at vi – i hvert fald som det ser ud lige nu – i høj grad kommer til at mangle implementeringsmæssig konsekvens. På den ene side lancerer EU en lovgivning, der langt hen ad vejen er glimrende, men som også giver mulighed for meget vide fortolkningsmæssige rammer. Det er noget skidt, hvis vi samtidig mangler et fælles organ til at yde ensartet og stringent rådgivning til virksomhederne,” siger Torben Clemmensen.

Grundlæggende er der rent lovgivningsmæssigt mange gode sikkerhedsinitiativer i NIS2. Men Torben Clemmensen er samtidig af den opfattelse, at det reelt ikke kan være nødvendigt med lovgivning på et område, hvor sund fornuft burde kunne løse en lang række af de sikkerhedsmæssige udfordringer. Sund fornuft, som burde omhandle såvel hardware- som softwaremæssige sikkerhedstiltag og ikke mindst brugeradfærd.

Nogle brancher lades i stikken
”I min optik er en af de helt store udfordringer, at it-sikkerhed ikke kun handler om teknologi, men også om brugernes tilgang til den. For nogle år siden skulle vi implementere EU’s lovgivning for beskyttelse af personfølsomme data, GDPR, og nu får vi så endnu en lovgivning, nemlig NIS2. En af de store forskelle er imidlertid, at mens der efter skæringsdatoen for GDPR var en overgangsordning på et par år, gælder NIS2 fra første dag, at den implementeres juridisk,” siger Torben Clemmensen videre.

De fleste brancher vil fint kunne håndtere den nye lovgivning, mens andre vil få yderst svært ved at være parat den dag, hvor lovgivningen træder i kraft. Et eksempel er detailbranchen, hvor hovedparten af Point of Sales systemerne, herunder kasseapparaterne, overhovedet ikke er gearet til at leve op til nutidens sikkerhedsstandarder.

Alle glemmer brugerne
Typisk er Point of Sales systemer af ældre dato og slet ikke gearet til at håndtere de sikkerhedsmæssige end-points, som NIS2 kræver. Samtidig er der tale om en branche, hvor medarbejderne har travlt og kun alt for sjældent er trænet til at være opmærksom på sikkerhedsmæssige aspekter. Det samme gælder eksempelvis sundhedssektoren, hvor der også knokles.

”Sundhedspersonalet har travlt nok med at tage sig af de faglige opgaver og er slet ikke sporet ind på også at skulle beskæftige sig med it-sikkerhed. For mig at se er det altså klart et problem, at EU melder ud med en formålsmæssigt glimrende lovgivning, men uden at tænke på brugerne, der er en mindst lige så vigtig faktor i den sikkerhedsmæssige ligning,” uddyber Torben Clemmensen. I den sammenhæng nævner han også vigtigheden af god rådgivning. Han fortsætter:

Må man køre over for rødt
”For mig at se står vi i en situation, hvor alt for mange organer skal på banen for at rådgive omkring NIS2. Det betyder, at hvis du er i restaurationsbranchen, får du måske et svar på, hvordan du bliver compliant til NIS2, og hvis du er i transportbranchen, får du et andet svar. Vi har rigtig mange brancheorganisationer, der hver især vil tolke budskabet til deres medlemmer, og det vil kun være med til at skabe forvirring”, siger Torben Clemmensen.

Til sammenligning nævner han færdselsloven. Uanset hvilken bil, man kører i, ved alle, at det ikke er tilladt at køre over for rødt, lige som alle ved, at når lyset bliver grønt, så må man gerne køre. Færdselsloven er altså en konsistent lovgivning uden de store muligheder for fortolkning. Det samme kunne Torben Clemmensen godt tænke sig var tilfældet i forhold til NIS2 og implementeringen af det nye EU-regulativ.

Flere regulativer kommer til
”NIS2 bliver ikke det sidste regulativ. Vi vil eksempelvis også komme til at se regulativer inden for Edge Computing og Artificial Intelligence, så lige pludselig er der rigtig mange ting at forholde sig til. Jo mere komplekse tingene bliver, jo flere virksomheder risikerer vi på forhånd vil give op, gemme sig i mængden og håbe, det går godt. Men hvis først hammeren falder, kan det meget hurtigt blive ikke bare dyrt, men rigtig dyrt”, siger Torben Clemmensen.

I modsætning til GDPR vil NIS2-direktivet ikke få en lang indkørselsperiode, hvilket vil formodentligt vil være det samme med andre, kommende direktiver fra EU. Ifølge Torben Clemmensen handler det derfor om at skabe et forum, hvor alle virksomheder uanset branche kan henvende sig og få neutral, uvildig samt ikke mindst ensartet rådgivning.

Hvem vil straffes dobbelt?
”Mit drømmescenarie er, at vi skal undgå skræmmekampagner. Der skal etableres en seriøs og sober rådgivning helt uden om branchemæssige og kommercielle interesser. Rådgivning, der er enkel, neutral og forståelig således, at det er rådgivning, der udelukkende er baseret på lovgivningen. Vi skal gøre det nemt for alle typer af virksomheder, store som små, for ellers er der alt for mange, som vil give op på forhånd”, slutter Torben Simonsen.

Og der er grund til at tage NIS2 seriøst. Fremadrettet griber EU nemlig den store bødehammer, og virksomhederne kan meget nemt risikere at blive straffet to gange for samme forseelse, nemlig manglende datasikkerhed i forbindelse med både GDPR og NIS2. Derfor er hans budskab, at rådgivning skal være objektiv, tilgængelig og forståelig formidlet af ét centralt organ.

Kommunerne venter på en endelig afklaring
NIS2-direktivet er en modernisering af NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen. NIS2 omfatter organisationer i sektorer, der håndterer samfundskritik infrastruktur, herunder inden for energi, transport, sundhed, drikkevand, spildevand, affaldshåndtering og offentlig administration.

Spørgsmålet er imidlertid, om landets kommuner vil blive omfattet af reglerne. Ifølge NIS2-direktivet er det nemlig medlemsstaterne, der skal beslutte, om lokale myndigheder er omfattet, mens regionale og centrale myndigheder er direkte omfattet af NIS2. Selvom kommunerne må vente på afklaring af NIS2’s anvendelsesområde i Danmark, kan kommunerne dog med fordel være opmærksomme på reglerne og den danske implementering.

Kommunerne kan nemlig blive omfattet af NIS2-direktivet via de opgaver, som varetages af kommunen eller kommunale selskaber, f.eks. sundhedspleje, affaldshåndtering, drikkevandsforsyning, spildevandshåndtering og fjernvarmeforsyning.

(Kilde: Kammeradvokaten)

Mit drømmescenarie er, at vi skal undgå skræmmekampagner. Der skal etableres en seriøs og sober rådgivning helt uden om branchemæssige og kommercielle interesser. Rådgivning, der er enkel, neutral og forståelig således, at det er rådgivning, der er baseret udelukkende på lovgivningen. Blandt andet rummer et nye NIS2 regulativ en masse udtagelser, som det kan være svært at navigere igennem

Mest læste på BusinessReview.dk

Ankomst
PwC nyindretter hovedsæde til en ny tids arbejdsformer
Ronny_tilpasset1
Investering af midler i Virksomhedsskatteordningen (VSO) – hvad må man?
1 Thorbjørn og Slaven
Et nyt liv efter fedmeoperation og plastikkirurgi
Henriette-Berlingske---
Ejendomsadvokaten: Lejefastsættelse i gennemgribende forbedrede lejemål
br cø__
Læs "Cirkulær Økonomi" digitalt her

Læs også

Fotograf Sif Meinckewww.sifmeincke
Den generelle trussel fra cyberangreb i Danmark er meget høj 
Det samme er danske virksomheders kompetence til at levere løsninger, der kan beskytte samfundet, virksomheder og centrale institutioner. Så...
de-fem-storste-globale-risikoer-i-2024-og-2025 (1) copy_
Misinformation og cybersikkerhed er de største globale trusler
Over de næste to år vil AI-genereret misinformation være den største globale trussel skarpt forfulgt at cybersikkerhed. Det slår over...
Natasha-Friis-Saxberg-4-Storformat (1)
Cybersikkerhed er blevet et mange-hovedet monster
Der går ikke mange dage mellem, at man hører om en ny virksomhed eller branche, der har været udsat for et cyberangreb. Og det er måske...