Analysen fra IRIS Group og Industriens Fond viser, at over 70% af virksomhederne i mindre grad eller slet ikke lever op til de kommende NIS2-krav (Net og informationssikkerhedsdirektivet) fra EU.
Et direktiv der stiller nye fælles europæiske krav til cybersikkerheden, hvis ens virksomhed betragtes som en del af landets samfundskritiske infrastruktur. Noget som det forventes at omkring 1.400 danske virksomheder bliver omfattet af, og som deres it-leverandører sandsynligvis også bliver bedt om at leve op til fra oktober 2024.
”Det kommende NIS2-direktiv kommer ikke bare til at ramme rigtigt mange virksomheder, men indirekte også mange it-leverandører. Virksomhederne skal leve op til kravet om forsyningskædesikkerhed, hvilket betyder, at de skal kunne dokumentere, at også deres it-leverandører har styr på sikkerheden,” udtaler Jacob Herbst, CTO i Dubex A/S og medlem af det nationale Cybersikkerhedsråd samt forperson i IT-Branchens policy board for cybersikkerhed.
Kaos inden start
Forvirringen i dansk erhvervsliv er desværre stor vedrørende NIS2-kravene. Mere end hver femte virksomhed er fortsat i tvivl om, hvorvidt de vil blive berørt af direktivet. Og mere end hver fjerde SMV har slet ikke sat sig ind i direktivets indhold. For større virksomheder er det hver tiende.
Af dem der har forsøgt at sætte sig ind i direktivet, fordi de vurderer, at de bliver omfattet af direktivet, har hver femte i mindre grad eller slet ikke en plan for at leve op til dets krav.
Det er særligt kravene vedrørende forsyningskædesikkerhed og vurdering af effektiviteten af it-sikkerhedsforanstaltninger, som færre virksomheder er rustet til at leve op til.
”Der er ingen tvivl om, at mange virksomheder famler i blinde, når de forsøger at danne sig et overblik over, om de er omfattet af direktivet, og hvilke krav de i så fald skal leve op til. Så der er brug for massiv hjælp på tværs af brancher, hvis virksomhederne skal nå at blive klar til næste år, hvor direktivet træder i kraft,” siger Jacob Herbst og fortsætter:
”Særligt komplekst og tidskrævende er kravet om forsyningskædesikkerhed, da det kræver, at virksomhederne stiller krav til deres leverandører, som de så skal blive klar til. I mange tilfælde vil det formentlige kræve genforhandling af kontrakter m.m.”
Der skal for alvor skub i implementeringslovgivningen
Netop det, at virksomhederne endnu ikke har vished om, hvorvidt de bliver omfattet af NIS2, gør virksomhederne handlingslammede, viser analysen, og it-virksomhederne er blandt de virksomheder, hvor uvisheden er størst.
Mere end 40% af de adspurgte it-virksomheder i analysen er således i tvivl om, hvorvidt og i så fald hvordan de bliver ramt af direktivet. Derfor scorer it-sektoren også lavt i analysen, når det kommer til andelen af virksomheder, der har sat sig ind i direktivet og har en plan klar for implementering af de påkrævede it-sikkerhedsforanstaltninger.
”Tallene viser med tydelighed vigtigheden af, at der hurtigst muligt skabes klarhed over, hvilke virksomheder i Danmark, der bliver omfattet af NIS2. Industriens Fond og IRIS Group har lavet et flot forarbejde med analysen, men der er behov for en hurtig, officiel udmelding fra regeringen eller Forsvarsministeriet, som er den ansvarlige, koordinerende myndighed, så de endeligt omfattede virksomheder kan begynde at forholde sig til, hvordan de lever op til direktivets krav,” siger Jacob Herbst.
IT-Branchen anbefaler sammen med Dansk Erhverv, Dansk Fjernvarme, Dansk Industri, Dansk IT, Danva, Ingeniørforeningen, IT-Branchen, Rådet for Digital Sikkerhed, og PROSA derfor følgende:
- Fælles ramme for lovgivningen, som sikrer respekt for sektoransvarsprincippet, men også er operationel og sørger for, at sektorernes tiltag er sammenlignelige, passer til risici, afspejler sektorernes interdependens og kan rapporteres på en fælles form – herunder afklare om der er flere sektorer, der kan operere under samme myndighed.
- Fælles tilsynskoncept, som sikrer at sektorerne kan sammenlignes, og at der automatisk kan opsamles data på tværs af sektorerne til en samlet national vurdering af risici og compliance.
- Sikre koordination og harmonisering på europæisk plan, så de virksomheder, der er aktive i andre EU-lande, ikke rammes af forskellige krav, men kan bruge samme tilgang på tværs af alle landene.
- Sikre samspil med andre reguleringstiltag inden for sikkerhedsområdet, som enten er vedtaget eller undervejs, så de samme foranstaltninger kan understøtte flere lovgivninger.
- En offentlig kortlægning af foranstaltninger og ISO-standarder, så harmonisering af implementering understøttes, og så begrebsapparatet, der anvendes, er ensartet for alle omfattede enheder.
- Der er behov for en praktisk vejledning af, hvorledes NIS2 krav efterleves og implementeres. Der skal gives fælles rammer for multiforsyningsselskaber.
- Når der etableres CSIRTer skal det ske i samråd med berørte brancher og med mulighed for finansieringsbidrag. Der skal være en kompetent tilsynsmyndighed.
It-leverandørerne skal hjælpe virksomhederne
Rapporten fra IRIS Group og Industriens Fond viser, at mere end halvdelen af virksomhederne ikke kender til værktøjer, der kan hjælpe dem med at øge deres it- og informationssikkerhed.
Tre fjerdedele af virksomhederne planlægger som minimum i nogen grad at benytte eksterne rådgivere eller leverandører, mens to tredjedele angiver at de vil benytte en standard eller certificering.
”Der ligger et stort ansvar hos it-leverandørerne i at kunne rådgive de virksomheder, der er omfattet NIS-direktivet. For der er pt ikke mange andre steder, hvor de kan få den hjælp, som de efterspørger. Samtidig vil der være en lang række it-leverandører, der indirekte bliver omfattet af NIS2 pga. kravet om forsyningskædesikkerhed. Så det er en god ide at sætte sig ind i kravene,” fortæller Jacob Herbst.
Allerede 7. juni kan IT-Branchens medlemmer blive klogere på kravene, når vi afholder webinaret ”NIS 2-direktivet: Kritisk infrastruktur og kontraktuel understøttelse.”
Her kan du læse hele rapporten ”Analyse af virksomhedernes modenhed ift. NIS-direktivets krav” fra IRIS Group og Industriens Fond.
Computerworld skriver: Dansk erhvervsliv er slet ikke klar til NIS2: “Mange virksomheder famler i blinde”
ITWatch skriver: ITB: NIS2 skaber kaos blandt virksomheder