PANELDEBAT: NIS2-regulering skal styrke  cybersikkerheden – men for hvem? 

NIS2 er det andet forsøg fra EU’s side på at lave et net- og informationssikkerhedsdirektiv, der skal regulere cybersikkerheden indenfor fortrinsvis samfundskritiske sektorer. Forhandlingerne om teksten er afsluttet, og vi venter i realiteten alene på, at direktivet underskrives, så vi kan begynde at regne os frem til, hvornår de omfattede danske virksomheder skal leve op til kravene i reguleringen.  Det sker nemlig 21 måneder efter, at direktivet også er formelt færdigbehandlet i EU-systemet.  Det vil sige, at vi skal regne med et tidspunkt omkring sensommeren 2024. 

Af fagleder for cybersikkerhed og digital ansvarlighed Morten Rosted Vang, DI Digital

Det væsentligste indhold i NIS2 kan deles op i fire dele: 

• Vi kender allerede nu 10 minimumskrav til it-sikkerheden, som virksomhederne skal leve op til i forhold til teknik, organisation, processer, kontrakter etc. 
• Virksomhederne får en rapporteringsforpligtelse, hvis de oplever en væsentlig it-sikkerhedshændelse, der har forårsaget eller potentielt kan forårsage væsentlige driftsforstyrrelser, økonomiske tab etc. 
• Der kommer krav til ledelsen i form af både øget ansvar og til besiddelse af cyberkompetencer, der kan sanktioneres med forbud mod at varetage ledelsesfunktioner i en afgrænset periode. 
• Og så er der en række af sanktionsmuligheder, der ender med risiko for bøder på op til 2% af global omsætning eller 10 mio. euro. Organisationen kan også blive pålagt at offentliggøre manglende overholdelse af deres forpligtelser. 
• Aktuelt er der en afdækning i gang indenfor de sektorer, som er nævnt direkte i NIS2-teksten, der skal præcisere hvilke virksomheder og organisationer i den enkelte sektor, der er omfattet. Det har ikke bare betydning for virksomhederne indenfor sektoren, men også for leverandører til de virksomheder, som er omfattet.  

NIS2 udvider markant de omfattede sektorer fra 7 til 18, derudover opdeler man virksomhederne i ”væsentlige” og ”vigtige” sektorer”, hvor den primære forskel består i omfang af tilsyn og bødeniveau. Men selv, hvis en virksomhed er undtaget på grund af sin størrelse, vil kravene alligevel blive relevante, hvis virksomheden er leverandør til en omfattet kunde. Vi ser i advokatbranchen i Danmark og internationalt i Bird & Bird, at kundernes krav til leverandørernes afdækning af kundernes egen regulatoriske compliance fylder mere og mere – både som et kvalitetsparameter, men også som hårde ufravigelige kontraktkrav. Det stiller høje krav til også mindre leverandørers indsigt i meget omfangsrig og kompleks regulering. Det ser vi allerede indenfor regulerede sektorer såsom energi, tele og finans og på tværs af brancher med GDPR. Jeg anbefaler, at SMVere allerede nu fokuserer på følgende fire områder i deres forberedelse på NIS2 compliance:

1. Bliver min virksomhed omfattet af NIS2?
2. Kortlægning af risikoanalyse og informationssystemsikkerhed – i egen virksomhed såvel som i sin forsyningskæde
3. Forankring af ansvar for og fokus på net og informationssikkerhed på ledelsesniveau
4. Bliver mine kunder omfattede af NIS2?

Cybersikkerhed vil blive et konkurrenceparameter blandt virksomheder, der ønsker at levere tjenester til kritisk infrastruktur. Som del af NIS2 direktivet vil omfattede virksomheder blive pålagt at risikovurdere og stille krav til hele deres forsyningskæde. Hvis I som underleverandør ønsker at stå stærkt, skal i allerede nu begynde at tænke på cybersikkerhed, åbenhed og certificeringer af jeres processer og kontroller. Et godt sted at starte er Center for Cybersikkerheds 20 tekniske minimumskrav, hvilke vil sikre et godt fundament for jeres tekniske cybersikkerhedskontroller.

Som virksomhed underlagt NIS2 vil det være oplagt at bede sin forsyningskæde om revisionserklæringer på, at processer og kontroller er i orden. I kan som leverandør til kritiske virksomheder derfor allerede nu påbegynde arbejdet med at blive klar til en ISAE 3402 revision, således at I kan påvise overfor for jeres kunder, at I efterlever god skik indenfor cybersikkerhed. Ovenstående vil kræve en del arbejde, men vi ser allerede nu, at flere og flere virksomheder bruger revisionserklæringer som konkurrenceparametre, og det nye NIS2 direktiv vil kun sætte endnu mere skub i denne trend.

Der bliver en hel del SMV’er, som bliver omfattet af NIS2. I forhold til NIS1 så er scopet bredere og en række underleverandører til f.eks. fødevarebranchen, medicinalindustrien, transportsektoren og forsyningsselskaberne vil få NIS2-compliance som et krav. I første omgang handler det om at få styr på sikkerheden på en struktureret og kontinuerlig måde. Der skal dokumenteres, at der er lavet en trusselsvurdering, at sårbarheder i virksomhedens informationssystemer er klarlagt og der laves en risikoproces, der kvantificerer de risici, som virksomheden har i forhold til cyperangreb, phishing, malware og evt. ransomwareangreb. 

En af de vigtigste processer at få implementeret er de løbende tests, tiltag, ændringer og opdateringer, eventuelt i form af et årshjul. Dette skal sammen med årlige interne audits garantere, at virksomheden til en hver tid er bedst muligt sikret mod de mest aktuelle cyberangreb. Mange af disse aktiviteter kan udføres og implementeres med en konsulent, der er NIS2-kyndig, naturligvis i samarbejde med ledelsen og virksomhedens aktører.

Det er naturligvis også vigtigt, at man får fokuseret på de forandringer, som der kan opstå i forbindelse med øget IT-sikkerhed. IT-sikkerhed vil altid skabe forandringer i en organisation, og har man ikke fokus på dem, så kan man risikere at sætte hele ens IT-sikkerhed over styr. Derfor er forandringsledelse vigtigt at medtage, når man skal være NIS2-compliant. 

– både dem med flere end 50 ansatte, men særligt dem, der potentielt er leverandører til virksomheder, der er omfattet af NIS2?  Danske virksomheder forventes at skulle leve op til de nye krav i andet halvår 2024. Nogen undrer sig måske over ’postyret’ allerede nu. Men ser man på de krav, som virksomhederne skal leve op til, på de sanktionsmuligheder – bøder og ledelsesansvar – som kan ramme samt husker lidt tilbage på kampen for at blive GDPR-compliant, så tegner der sig et billede af, at det vil være rettidig omhu at komme i gang med arbejdet. Nu. 

NIS2-direktivet kommer på baggrund af erfaringer fra NIS1-direktivet samt et stort ønske om at styrke cybersikkerheden i EU både i bredden, med udpegning af yderligere sektorer, og i dybden, med nye krav til sektorerne. Målet er en helt nødvendig styrkelse af cybersikkerheden, men for mange vil det også betyde udfordringer og øgede udgifter at leve op til kravene. Selvom NIS2 primært berører større virksomheder, bliver mindre virksomheder også ramt, hvis de udgør digital infrastruktur og/eller har en kritisk betydning for samfundet. Det samme gælder mindre leverandører til de udvalgte sektorer, når de udvalgte sektorer begynder at stille krav til dem. 

I Industriens Fond har vi igangsat en kortlægning, der skal vise, hvilke organisationer, der er omfattet, samt give en vurdering af, hvor parate de er ift. kravene. Har de fx gennemført en risikoanalyse, har de et ledelsessystem til styring af informationssikkerhed, har de en plan for håndtering af hændelser osv.