13. august 2023
Peder Bjerge
0

NIS2-KRITIK AF FORSVARSMINISTERIET: DET GÅR FOR LANGSOMT

Med de nye EU-regler for cybersikkerhed skal op mod 1.400 danske virksomheder leve op til nye krav. Ikke alene er de nye EU-regler komplicerede, overtræder virksomhederne disse paragraffer kan de koste millioner af euro i bøde. Uafhængig ekspert John Michael Foley retter en skarp kritik af forsvarsministeriet: Det er gået alt for langsomt med at hjælpe virksomhederne med at indrette sig efter de nye regler, der træder i kraft til oktober næste år.

Har danske virksomheder ikke styr på de nye regler om cybersikkerhed, kan det koste dem millioner i bøder. Og i euro ikke kroner.

De nye EU-regler, ofte bare kaldet NIS2 er afgørende for, at et samlet EU bliver bedre til at forsvare os mod de konstante cyberangreb fra kriminelle og fjendtlige stater, understreger John Michael Foley, der efter en karriere inden for cybersikkerhed i Forsvaret i dag driver rådgivnings- og IT-sikkerhedsvirksomheden COPITS.

”Det første direktiv, NIS1, var et godt initiativ, men erfaringerne viste, at man havde skudt for lavt, så det nye direktiv skal forbedre cybersikkerheden generelt. Jeg ser også NIS2 som en forbedring, men det bliver langt fra billigt for de virksomheder og myndigheder, der er omfattet,” siger han.

”Vi skal være klar over, at det bliver en regning af de helt store,” tilføjer John Michael Foley.

Han er stærkt kritisk overfor det danske forsvarsministeriums langsommelighed med at hjælpe virksomhederne til at blive ordentligt klar til at overholde reglerne. Men inden vi kommer til kritikken, skal vi lige lade ham skitsere, hvorfor direktivet er en ordentlig mundfuld for dem, der bliver omfattet, og hvorfor det kræver, at der kommer klare retningslinjer for, hvad virksomheder og myndigheder præcist skal have styr på for ikke at risikere store bøder.

EU: det bliver dyrere

De sikkerhedsforanstaltninger, som skal på plads, inden direktivet træder i kraft til oktober næste år, er nemlig udvidet betragteligt. Mens det tidligere direktiv, altså NIS1, havde identificeret seks samfundskritiske sektorer, som var omfattet af regler, er det nu udvidet til hele 16 sektorer, herunder IT-, energi-, transport-, sundheds-, finans- og fødevaresektoren.

John Michael Foley henviser til skøn, der viser, at mere end 1.400 virksomheder vil være omfattet af direktivet, hvor NIS1 omfattede godt 400 virksomheder.

EU’s egen økonomiske analyse viser, at det bliver dyrere. Ifølge de regneark vil udgifterne stige med 20 pct. for de virksomheder og myndigheder, der nu skal til at indrette sig efter at overholde reglerne i NIS2, mens regningen vokser med 12 pct. for de virksomheder, der allerede var omfattet af NIS1. Og hvorfor så det, kunne man fristes til at spørge.

Svaret er, at det er et ret kompliceret sæt af planer og tiltag, som skal på plads inden oktober næste år. Ikke alene skal de, der nu bliver omfattet af NIS2, som et første krav udforme risikovurderinger og sikkerhedspolitikker, de skal f.eks. også bruge multifaktor-godkendelse, ‘continuous authentication’-løsninger, stemme-, video- og tekst-kryptering, når det giver mening, påpeger John Michael Foley. Alt i alt er der ni forskellige krav, som de omfattede virksomheder og myndigheder skal have styr på inden deadline i oktober næste år.

”Her skal vi huske på, at reglerne er kommet som et direktiv og ikke en forordning fra EU. Det betyder, at alle de mange EU-lande selv skal formulere yderligere eller supplerende regler til direktivet,” siger han.

Desværre alt for langsommeligt

Og her kommer vi til John Michael Foleys kritik af forsvarsministeriet, der har ansvaret for at omsætte direktivet.

”Det arbejde er desværre alt for langsommeligt. Her har man siddet på hænderne alt for længe. Man har vidst, at direktivet var på vej de sidste to år, selv om det først blev formelt vedtaget november 2022, men har alligevel ikke været nok oppe på dupperne,” siger han.

”De har sandsynligvis også været involveret i arbejdet med at forberede direktivet, og har derfor vidst, hvad det ville betyde for flere år siden. Nu står vi med problemet, at de ikke er kommet ud af busken og er gået i gang tidligt nok med at hjælpe virksomhederne med at komme i gang med at efterleve de mange nye og strenge krav, der bliver stillet,” siger han.

”Mange frygter, at vi vil opleve samme skandale, som vi så med GDPR-reglerne (EU-reglerne om beskyttelse af persondata, red.), hvor myndighederne var alt for længe med at komme i gang med at hjælpe virksomheder og andre på plads til at overholde de regler,” siger John Michael Foley.

Han understreger, at virksomheder og myndigheder, der bliver omfattet af reglerne, selvfølgelig kan gøre noget selv ved at nærlæse direktivet, men de kan ikke læse sig til yderligere krav, som måtte blive stillet til dem i de regler, forsvarsministeriet skal udforme.

”Dansk Industri har lavet en analyse, der viser, at over 1.000 virksomheder vil blive omfattet af regler på den ene eller anden måde. Men man kender ikke navnene på hver enkelt virksomhed. Nogle kan nok gætte sig til, at de nok vil blive omfattet, fordi de var omfattet af det første direktiv.”

Ikke oceaner af tid

John Michael Foley fortsætter:

”Men dengang var der kun seks sektorer, der var omfattet af reglerne. I dag er det udvidet til hele 16 sektorer rundt omkring i samfundet. Mange har henvendt sig til forsvarsministeriet for at finde ud af, hvad der sker. Men her har man bare henvist til, at direktivet var på vej. Men nu er det altså vedtaget.”

Han fremhæver, at selv om det kan synes som om, at der er oceaner af tid til, at man skal overholde reglerne, når det først skal være på plads til oktober næste år.

“Vi er mange, der synes, at Forsvarsministeriet sidder på hænderne. De mangler at komme ud og hjælpe virksomhederne til at blive klar. Alle venter på dem.”

På SAMDATA Magasinets henvendelse om kritikken, har Morten Kaas, pressechef i Forsvarsministeriet, sendt følgende svar på mail:

”NIS 2-direktivet blev endelig vedtaget den 27. december 2022 i Den Europæiske Unions Tidende, hvorfor det konkrete indhold af direktivet først var endeligt i slutningen af december 2022. Forsvarsministeriet er i dialog med relevante myndigheder med henblik på stillingtagen til fordelingen af roller og ansvar mellem myndigheder inden for rammen af direktivet. Center for cybersikkerhed har løbende afholdt webinarer samt deltaget i konferencer som oplægsholder om NIS 2-direktivet, da forhandlingerne af direktivet pågik i Bruxelles. Det kan videre oplyses, at det fremgår af direktivet, hvilke virksomheder som omfattes af direktivets bestemmelser.”

John Michael Foley understreger, at han selvsagt er uenig i den udlægning. Han peger på, at det ikke fremgår af direktivet, hvilke virksomheder der er omfattet. \

Sikkerhedskonsulent John Michael Foley er stærkt kritisk overfor det danske forsvarsministeriums langsommelighed med at hjælpe virksomhederne til at blive ordentligt klar til at overholde de nye regler om cybersikkerhed, der med EU-direktivet NIS2


Avatar photo
Forfatteren Peder Bjerge

Freelance journalist med en fortid på Børsens Nyhedsmagasin, Dagbladet Politiken og Computerworld. Medforfatter til bøgerne om den danske it-boble og Skype-iværksætteren Janus Friis. Inden han kastede sig over journalistik, arbejdede han bl.a. som taleskriver for en række erhvervsministre.
Mail: peder@bjerge.net - Web: bjerge.net

Flere artikler

Skriv en kommentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.