ORGANISATIONER ROSER NYT IT-SIKKERHEDSDIREKTIV FRA EU, MEN FRYGTER FORHASTET IMPLEMENTERING
EU-direktiver er måske ikke det mest sexede at læse om. Men lige dét her kan få stor indflydelse på din arbejdsdag de kommende år. Derfor skal du over de næste sider læse om NIS2, der er en forkortelse for “Net- og Informationssikkerhedsdirektivet”.
Det træder i kraft næste efterår, og kan potentielt komme til at fylde på samme måde som GDPR-direktivet om beskyttelse af persondata gjorde tilbage i 2018. NIS2 er noget mere mundret, men vil også påvirke rigtigt mange menneskers arbejdsliv – omend ikke så mange som GDPR.
Det er nemlig et EU-direktiv, der stiller nye og større krav til informations- og IT-sikkerheden i en bred vifte af sektorer rundt om i samfundet, lige fra energi til fødevarer. Selvom der bredt set er opbakning til de nye krav, så er flere aktører bekymrede for, hvordan lovgivningen vil blive implementeret, både i Danmark og i resten af Europa.
Det startede med NIS1
Men inden vi kommer til bekymringerne i dag, så lad os for et øjeblik gå tilbage til begyndelsen af historien om det nye direktiv, som starter i 2016.
“Mange var skræmt af Brexit og valget af Trump som præsident i USA, samtidig med at IT-kriminalitet som fænomen voksede. Derfor udarbejdede og vedtog man det første direktiv for IT-sikkerhed. Det blev kaldt NIS (men omtales i dag ofte som NIS1, red.) og blev af forskellige årsager ikke effektivt. Det blev vedtaget på et tidspunkt, hvor cybersikkerhed slet ikke havde samme urgency som i dag,” forklarer Morten Løkkegaard.
Den tidligere journalist sidder i dag i EU-parlamentet for Venstre og var involveret i arbejdet med både NIS1 og efterfølgeren NIS2. Net- og Informationssikkerhedsdirektivet – NIS eller NIS1 – var den første store, samlede lovgivningspakke fra EU om IT-sikkerhed. Med indførelsen af NIS-lovgivningen blev det obligatorisk for både ”operatører af væsentlige tjenester” og ”udbydere af digitale tjenester” at skærpe deres sikkerhedsforanstaltninger.
”Operatører af væsentlige tjenester” kan bedst beskrives som dem, der leverer de nøglefunktioner, som er absolut uundværlige for vores samfund og økonomi. De findes i sektorer, som vi alle afhænger af i vores dagligdag – fra vores vandforsyning og energikilder som el, olie og gas, til de transportsystemer, der holder os mobile. De omfatter også vitale økonomiske tjenester inden for bankvæsen, sundhedsvæsnet, samt digital infrastruktur.
I lang tid syntes det, i hvert fald set fra kontorerne i Bruxelles, at være tilstrækkeligt. Men i februar sidste år rullede russiske kampvogne så ind i Ukraine. Den geopolitiske situation blev med ét forandret: Der var igen krig i Europa. Som du kan læse meget mere om på side 8-11, betød den russiske invasion, at forsvars- og sikkerhedspolitik, herunder IT-sikkerhed, igen kom øverst på dagsordenen både i de enkelte lande og i de internationale samarbejdsorganer. Og ikke nok med dét. Det betød også, at der i videre udstrækning end tidligere har været fælles fodslag i EU. Det kunne Morten Løkkegaard mærke, da NIS2 skulle udarbejdes og vedtages.
“Det har været en god proces. Bedre end den plejer. Nu har jeg været her i 13-14 år og været med i mange af den slags processer, men den her har adskilt sig. Den har været nemmere end mange andre, fordi spørgsmålet om IT-sikkerhed af forskellige grunde er blevet consensual, altså noget som de fleste bakker op om. Så der har ikke været mange problemer med substansen,” siger han og tilføjer:
“Man skal ikke gå mange år i skole for at se, hvilke konsekvenser det har, hvis vi ikke gør noget. Der er nu en helt anden og mere positiv holdning til at gøre noget sammen.”
I Bruxelles var der, ifølge ham, en vidtrækkende ambition om at få hele EU med.
“Der har været tradition for, at alt der handler om sikkerhed og efterretningstjenester altid har været et nationalt anliggende i de enkelte lande. Regeringerne er altid blevet rådgivet af deres sikkerhedsfolk til at holde sig fra fælles europæiske løsninger, og det var frygten, at det også ville ske her. Men man er aldrig stærkere end det svageste led, og dérfor gjorde vi det til en rød linje (et ufravigeligt krav, red.) at alle lande skulle med,” fortæller Morten Løkkegaard.
IT er udfordrende
Netop dette var også personligt en udfordring for Morten Løkkegaard selv. Længe før Morten Løkkegaard begav sig ind i politik, var han et kendt ansigt i fjernsynet. I ti år var han vært på bl.a. TV-avisen og andre nyhedsprogrammer på DR. Og hans journalistiske baggrund var ikke ligefrem noget, der klædte ham på til at snakke med om IT-sikkerhed.
“Det er svært. Det er meget svært,” siger han og griner. Han fortsætter:
“Jeg har forsøgt at vænne mig til det. Det har været en rejse for mig som politiker at blive klogere, for det kræves for at være med hernede. Man skal tilegne sig terminologien. Det stiller store krav at arbejde med emner, som man ikke kender til fra start. Jeg har brugt min erfaring til at få fat i opgaver, hvor jeg ved, at jeg kan mønstre interesse, for med interessen følger også en lyst til at sætte sig ind i det.”
Implementering
Tilbage i Danmark sidder Henning Mortensen. Han er formand for Rådet for Digital Sikkerhed, en frivillig medlemsorganisation, der “ønsker at fremme et trygt og frit digitalt samfund for alle”. Til daglig arbejder han som IT-sikkerhedschef i en større dansk virksomhed.
Han er i det store hele glad for NIS2-direktivet.
“Overordnet synes jeg, at det er fint. Det er godt, at der kommer regulering på området, for det er faktisk ikke tilstrækkelig modent lige nu. Det er nødvendigt, at der stilles præcise krav til, hvad virksomhederne og andre aktører skal gøre i praksis,” siger han og uddyber:
“Man skal til at lave risikovurderinger af, hvilke trusler man står overfor, og hvordan man kan nedbringe de risici. Det er supernyttigt.” Henning Mortensen fortsætter:
“Der er selvfølgelig nogle, der brokker sig over NIS2, fordi de skal til at efterleve nogle eksterne krav, men alle, der har arbejdet med IT-sikkerhed, kan se, at det ikke er mastodontiske krav. Det er ganske fornuftige og rimelige krav, som følger en almindelig, god sikkerhedspraksis.”
Til kritikerne af direktivet siger han:
“Det rammer også mange, men slet ikke så mange som f.eks. GDPR. Det er væsentligt færre aktører, der er omfattet. En række af aktørerne er allerede omfattet af NIS1, som de har skullet leve op til i flere år,” siger han og uddyber:
“Det her rammer ikke en frisør eller en kioskejer. Det rammer nogen, der har en betydning for samfundsfunktionen, og de har formentligt arbejdet med informationssikkerhed i forvejen. Der er næppe nogen, der starter helt fra scratch.”
Bekymret for implementeringen
Men selvom Rådet for Digital Sikkerhed ser positivt på initiativet, så frygter formand Henning Mortensen dog, at implementeringen ikke bliver optimal. Det er især tidshorisonten, der skræmmer ham, for allerede i oktober næste år træder direktivet i kraft.
“Problemet er, at der endnu ikke er placeret myndighedsansvar, så der er ingen regler eller vejledninger skrevet. De skal først skrives, så skal de igennem flere myndigheder, og så ud i høring. Det har lange udsigter, før vi ved, hvad myndighederne vil have, at de berørte virksomheder skal gøre. I mine øjne er dét det største problem: At det bliver en kort tidshorisont fra vejledningerne, ligger klar, og indtil reglerne træder i kraft,” siger han og tilføjer:
“Jeg er bange for, at vi ikke får tid nok.”
Fælles fodslag
Samtidig peger Henning Mortensen på vigtigheden af, at implementering sker centralt og ensartet på tværs af sektorer.
“Det er vigtigt med en centralt koordinerende myndighed, så de forskellige krav bliver aligned, så man kan implementere dem på samme måde. Man risikerer f.eks., at kommunale institutioner implementerer på 98 forskellige måder, fordi de 98 kommuner gør det på sin egen måde, og så er risikoen, at det ikke spiller ordentligt sammen. Fordelene kommer netop, når alt spiller sammen, og alle kan aflevere sine logfiler i samme format det samme sted, så der kan analyseres samlet.”
Samtidig er han påpasselig med tvang.
“Skal der så være nogen, der siger, at man ‘skal’? Nej, der vil jeg være noget mere forsigtigt. Jeg vil gerne have nogen, der kommer med fælles ‘bør’-regler, men der kan være særlige grunde til, at en kommune vil gøre det på sin egen måde, så dét bør der være plads til.”
I samme boldgade understreger Henning Mortensen behovet for tydelig kommunikation fra myndighederne.
“En aktør kan blive ramt af flere forskellige krav, fordi de opererer i flere forskellige sektorer, og måske ovenikøbet også i andre lande, og derfor også bliver mødt af krav dér. De skal kunne få klar besked af myndighederne om, hvad der forventes af dem. Det kalder på en centralt koordineret ‘bør’-tilgang.”
Dansk Erhverv: Positivt, men mange faldgruber
Hos Dansk Erhverv, der organiserer mange af de virksomheder, der vil blive omfattet af NIS2-reglerne, er der en forsigtig optimisme over direktivet, men bekymrede panderynker når det kommer til implementeringen. Det fortæller Christian von Stamm Jonasson, der er chefkonsulent og bl.a. sidder med NIS2-direktivet.
“Det er en fornuftig tankegang, der ligger bag, og et nødvendigt område at regulere. Tidligere har man været meget tilbageholdende og stolet på incitamenter og støttepuljer, men nu stiller man nogle krav til de virksomheder, som vi er helt afhængige af. Det er en erkendelse af, at den type regulering er helt nødvendig,” siger han og tilføjer:
“Vi er på det lange stræk meget glade for, hvordan lovpakken er skåret til. Men intet er perfekt.”
Dansk Erhverv er for, eksempel bekymrede for hvordan virksomheder, der opererer i flere af de sektorer, som NIS2 omhandler, bliver ramt.
“Hvordan sikrer vi sektorharmonisering, hvis et firma både har logistik og fødevarer, eller både leverer energi og internet? Hvordan sikrer vi, at der ikke er tre forskellige tilsynsmyndigheder, der skal ud til samme firma og måske har tre forskellige tolkninger af loven og praksis?” spørger Christian von Stamm Jonasson.
For virksomheder, der er aktive i flere EU-lande, kan det blive ekstra kompliceret, frygter han.
“Jeg snakkede med en CISO (chief information security officer, red.) i en virksomhed, der leverer software til fire forskellige kravområder i fem forskellige lande. Det er potentielt 20 sæt love og 20 tilsynsmyndigheder, de skal forholde sig til. Det skaber et papirmonster.”
Risikerer at blive konkurrenceforvridende
Chefkonsulenten fra Dansk Erhverv er samtidig bekymret for, at deres medlemsvirksomheder kan få udfordringer med at konkurrere med firmaer i andre dele af EU, hvis implementeringen ikke bliver den samme på tværs af Europa.
“I Danmark har vi en tendens til at overimplementere, og det er vigtigt, men hvis vi stiller skrappere krav til virksomhederne, end man for eksempel gør længere syd på, så står danske virksomheder med flere udgifter, hvilket giver dyrere produkter og gør det sværere at konkurrere med firmaer i resten af Europa,” lyder det fra Christian von Stamm Jonasson.
Den helt store bekymring hos Dansk Erhverv handler dog om tidslinjen.
“Vores budskab er, at kravene skal stilles på en måde, så virksomhederne ved, hvad de har med at gøre. Vi står med noget, der skal implementeres allerede i oktober næste år. Men vi ved, at de danske myndigheder er meget bevidste om det. Vi har møder med dem, og de sidder ikke på hænderne,” forsikrer Christian von Stamm Jonasson.
Han fortsætter:
“Men når virksomhederne spørger os, om de bliver omfattet af NIS2, så er der alt for mange gange hvor jeg må sige: ‘Det kan godt være, men det kommer an på, hvordan de danske bekendtgørelser kommer til at se ud’. Det er ikke rimeligt med den usikkerhed, for virksomhederne skal i gang nu, hvis de skal nå i mål.”
I et svar til Folketingets udvalg for Digitalisering og IT skrev digitaliseringsminister Marie Bjerre (V) i slutningen af marts:
“Center for Cybersikkerhed er national IT-sikkerhedsmyndighed og nationalt kompetencecenter på cybersikkerhedsområdet. Forsvarsministeriet er derfor ansvarlig for koordinationen og implementeringen af det nye EU-direktiv om foranstaltninger til sikring af et højt fælles cyber-sikkerhedsniveau i hele Unionen.”
Tilbage i Bruxelles er også Morten Løkkegaard opmærksom på de potentielle problemer med implementeringen.
“Det tager jeg meget alvorligt. Implementeringen er altid et svagt punkt. Vi kan lave så meget lovgivning, det skal være, men der opstår problemer, når direktiverne giver meget uens implementering. Så denne gang, fordi det er cyber og fordi det er sikkerhed, så har jeg fulgt det endnu tættere. Det er vigtigt, at det er nogenlunde ensartet,” lyder budskabet. \
NIS1 vs NIS2
NIS1 gælder for “væsentlige tjenester”, hvilket blandt andet er sektorer som energi, transport, finans, sundhed og drikkevand.
NIS2 kommer til at gælde for sektorer, der betegnes som “vigtige” eller “væsentlige”, altså en bredere definition end NIS1. Det indebærer f.eks. fødevaresektoren og dele af detailhandlen, spildevandssektoren, affaldssektoren og dele af fremstillingsindustrien (som producerer blandt andet kemikalier, lægemidler og medicinsk udstyr). IRIS Group vurderer i en kortlægning, at mere end 1.000 større danske virksomheder bliver omfattet af NIS2.
Et centralt nyt element i NIS2 handler om forsyningskæde- og leverandørsikkerhed. De virksomheder, der er omfattet af NIS2, kan nemlig ende med at være ansvarlige for at sikre, at deres leverandører også lever op til kravene, selvom leverandørvirksomheden ikke selv er omfattet.
LYT MED: PODCAST OM NIS2
I SAMDATA’s helt egen podcast DataSnak kan du høre mere om NIS2. Det er i afsnit 155 fra september sidste år, hvor du kan høre værterne Adam Bindslev og Jeppe Engell snakke om direktivet. Du kan lytte til afsnittet i din foretrukne podcast-app.
NÆSTE EU-LOVGIVNING PÅ VEJ
“Nu er vi gået i gang med Cyberresilience Act, som er opfølgeren til NIS2. Den handler bare om at sikre produkterne i stedet. Det bliver en større og mere kompliceret lovgivning, hvor der er flere myndigheder inde over. Men det siger jo noget om, at cybersikkerhed er blevet et hedt emne og vil være det i årene fremover. Udviklingen med kunstig intelligens betyder også, at det ikke kun er et militært emne, men også har civil betydning. Jeg synes, at det er en vigtig pointe, at der er sket et skred i en positiv retning, og at man godt kan tillade sig at have nogle forventninger til lovgivningen.”
Morten Løkkegaard
Sådan påvirker det medarbejderne
“NIS2 kommer forhåbentligt ikke til at have en stor påvirkning på medarbejdernes hverdag. Der er selvfølgelig awareness og uddannelse, som forhåbentligt betyder, at flere medarbejdere som led i deres oplæring kommer til at blive dygtigere til IT-sikkerhed.”
”Emnet kommer også til at fylde mere i dialogen fra topledelsen til medarbejderne. Men det skal jo meget nødigt blive besværligt at være medarbejder, og det tror jeg heller ikke, at det gør. Men der er selvfølgelig nogle sektorer, hvor nogle medarbejdere får nogle nye opgaver eller får flere ting, de skal tage hensyn til i det daglige arbejde som følge af NIS2.”
”Formålet er jo at ruste os bedre mod digitale angreb, så det er nok nødvendigt at flere af os bliver opmærksomme på hvilke mails man skal åbne, og hvilke man skal lade ligge,” siger Christian von Stamm Jonasson, chefkonsulent i Dansk Erhverv.
Dansk Erhverv om cyberværnepligt
Adskillige undersøgelser har de senere år vist, at Danmark mangler mange tusinde IT-specialister. Derfor er Dansk Erhverv også glade for, at cyberværnepligten hjælper med at uddanne flere.
“Vi mangler mange specialister, især på cybersikkerhedsområdet. Ethvert tiltag, der øger tilgængeligheden af de her færdigheder, det er vi meget interesserede i. Det er mit indtryk, at cyberværnepligten er kommet godt fra start. Hvis det øger virksomhedernes adgang til medarbejdere med de kompetencer, så er det bare positivt,” siger chefkonsulent Christian von Stamm Jonasson.
I KAN SØGE STØTTE
Vidste du, at SMVdigital, der drives af Digitaliseringsstyrelsen, har en række puljer, som små- og mellemstore virksomheder kan søge for at komme i gang med IT-sikkerhedsarbejdet?
På smvdigital.dk (under punktet ‘Tilbud’) kan du få et overblik over hvilke puljer, der pt. er åbne for ansøgning