Formålet med NIS2-direktivet er at styrke cybersikkerheden i forhold til Danmarks samfundskritiske infrastruktur, hvilket der er god grund til. For vi ser flere og flere cyberangreb mod dansk infrastruktur og danske virksomheder.
Lige før sommerferien hævede Center for Cybersikkerhed (CFCS) derfor også trusselsniveauet for destruktive cyberangreb, fordi de mener, at sandsynligheden for et angreb på Danmarks kritiske samfundsstruktur er vokset fra 10-40 procent til nu 40-60 procent.
IT-Branchen har af samme grund set frem til den kommende NIS2-lov, da det vil være med til at styrke Danmarks samlede cyberforsvar.
Flere udfordringer i lovudkastet
Lovudkastet lægger i udgangspunktet op til et fornuftigt NIS2-implementeringsniveau i Danmark, da det er baseret på en minimumsimplementering, som udskyder svar på mange spørgsmål til de kommende bekendtgørelser.
Men det betyder også, at der ikke er mange svar at hente for virksomhederne i det nuværende lovudkast.
”Mange af virksomhederne har svært ved at finde ud af, om de er omfattet af NIS2, og hvad de skal gøre for at leve op til kravene. Dette gør sig bl.a. gældende på det digitale område, hvor definitionen af omfattede områder er meget brede og ukonkrete. Så der er et enormt behov for hurtigst muligt at give konkret hjælp og vejledning til virksomhederne. Og her kommer det nuværende lovudkast ikke med svar,” siger Jacob Herbst, CTO i Dubex A/S og forperson for IT-Branchens Policy Board for Cybersikkerhed.
En analyse fra IT-Branchen viser, at to ud af tre virksomheder endnu ikke ved, om de bliver omfattet af NIS2 på trods af, at der er få måneder til, at loven træder i kraft. Halvdelen af de adspurgte virksomheder efterspørger da også officielle udmeldinger og vejledninger for området.
IT-Branchen anbefaler derfor, at NIS2-loven hurtigst muligt følges op af sektorbekendtgørelser og konkret hjælp og vejledning til virksomhederne.
Da sektorbekendtgørelserne kommer til at have stor betydning for implementeringen af NIS2, er det dog vigtigt med en ordentlig kvalitet, hvorfor det er vigtigt, at der afsættes tid til en grundig høringsproces.
Virksomhederne bør i den forbindelse også kunne rette henvendelse til en sektoransvarlig myndighed og modtage et klart og bindende svar på, om de er omfattede af NIS2.
Et andet stort problem er, at kommunerne som enheder ikke er omfattet af NIS2, men at de kan have områder, der er omfattet af NIS2.
”Kommunerne kan ende med at være omfattet af NIS2 indenfor visse områder, men ikke omfattet inden for andre. Dette åbner op for kreative fortolkning af reglerne, og dermed forskellig tilgang til cybersikkerhed i kommunerne. Det kan få vidtrækkende sikkerhedskonsekvenser, hvis kommunerne kan begynde at undslå sig at være omfattet. Det går ikke. Der bør være et ensartet sikkerhedsniveau på tværs af hele den offentlige sektor, altså stat, regioner og kommuner,” udtaler Jacob Herbst.
En sidste ting, som bekymrer IT-Branchen er, at CFCS’s rolle som CSIRT – dvs. overordnet myndighed, der skal hjælpe de NIS2-omfattede virksomheder med at håndtere cybersikkerhedshændelser – bliver væsentlig større end tidligere.
Her sætter IT-Branchen spørgsmålstegn ved, om CFCS har ressourcerne og kompetencerne til at løfte denne opgave.
Derfor er der i NIS2-loven behov for en præcisering af CFCS’/CSIRT’ens ansvarsområde og opgaver, så de omfattede enheder ved, hvad de kan forvente og ikke risikerer forskelsbehandling i forhold til andre tilsvarende virksomheder. Det er også vigtigt at sikre et ordentligt samarbejde og undgå en skævvridning af konkurrencen i forhold til de private aktører på sikkerhedsområdet.
Du kan læse hele høringssvaret fra IT-Branchen her samt læse hele lovudkastet ”Høring over udkast til forslag til lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau” her.
Om NIS2-direktivet
EU’s NIS2-direktiv er en ny regulering, der træder i kraft i Danmark i marts måned 2025, og som har til formål at forbedre cybersikkerheden i EU, ved at stille nye krav til de virksomheder og offentlige myndigheder, der er særligt vigtige for vores samfund.
Det omfatter virksomheder, der arbejder med kritisk infrastruktur, som f.eks. banker, hospitaler og elselskaber. Men det omfatter også virksomheder, der behandler store mængder persondata, såsom sociale medier og større onlinebutikker.
Er man it-leverandør til nogle af disse, vil man derfor højst sandsynligt også skulle leve op til krav om informationssikkerhed i NIS2-direktivet.
Af samme grund har vi lavet et NIS2-univers, hvor man løbende vil kunne se, hvad man som virksomhed skal leve op til af krav.
Computerworld skriver følgende om IT-Branchens høringssvar: “IT-Branchen raser: NIS2 sætter Danmarks cybersikkerhed på spil.“