Frygt for nye EU-regler: Cybersikkerhed risikerer at blive det nye GDPR

BRUXELLES: Der er bekymrede miner fra både erhvervslivet, kommunerne og til dels også regeringen over et nyt EU-udspil om cybersikkerhed.

Den voksende risiko for, at kritisk infrastruktur som vandværker og hospitaler eller virksomheder eller hele sektorer lammes af cyberangreb, har fået EU-Kommissionen til at foreslå at udbrede regler på området til langt flere aktører og true med store bøder til dem, der ikke har sikkerheden i orden.

Her frygter både Dansk Industri og Kommunernes Landsforening (KL), at de nye regler ender i øget bureaukrati og frygt for bøder hos både virksomheder og administrationer.

"Vi sætter spørgsmålstegn ved, at det er den rigtige vej at gå, at man kommer med stokken i hånden og risiko for millioner af kroner i bøde," siger Morten Rosted Vang, der er Fagleder for digital ansvarlighed og cybersikkerhed i Dansk Industri.

"Vores bekymring er ikke, om det er rigtigt eller ej, at vi skal finde retningslinjer for, hvordan vi skal arbejde med cybertruslen. Det er vi ikke uenige i. Vi bekymrer os for, at man skal opbygge et stort bureaukrati omkring det,” lyder det fra kontorchef for digitalisering og teknologi hos KL, Pia Færch.

Udvidet trusselslandskab
Det såkaldte NIS2-direktiv er en opdatering af de regler, der allerede eksisterer for at holde netværks- og informationssystemer sikre, og som i dag dækker følsomme sektorer som energi, transport og digital infrastruktur.

Nu skal det dog udvides til at dække langt flere områder, virksomheder og myndigheder og stikke dybere med flere sikkerheds- og rapporteringsforpligtelser.

Det vil sige, at såkaldte ”væsentlige enheder” inden for energi, transport, bankvæsen, sundhed, drikkevand og spildevand, digital infrastruktur, offentlig forvaltning med mere, samt såkaldte ”vigtige enheder” inden for post- og kurertjenester, affaldshåndtering, fremstilling og distribution af kemikalier, fødevareproduktion, digitale udbydere et cetera vil blive underlagt forpligtelser.

”Den digitale transformation af samfundet (intensiveret af covid-19-krisen) har udvidet trusselslandskabet og skabt nye udfordringer, som kræver tilpassede og innovative svar,” skriver EU-Kommissionen i præsentationen af de nye regler, hvor de advarer om, at angreb mod én sektor, kan lede til ”kaskade-effekter” med risiko langt ud over et enkelt felt.

Hvad koster det?
Fra regeringens side har der længe været støtte til arbejdet med cybersikkerhed på EU-plan. Så sent som i sidste uge understregede statsminister Mette Frederiksen over for Folketingets Europaudvalg, at det er et af de områder, hvor hun gerne ser EU komme mere på banen.

Et notat fra Forsvarsministeriet viser da også, at regeringen overordnet tager godt imod de nye EU-regler og kalder det positivt, at der skal gøres mere for at højne cybersikkerhed og trusselsbevidsthed. Der er dog også her en bekymring for, om de nye regler er skåret til på en helt fornuftig måde.

Regeringen kalder det ”meget vigtigt”, at det nye direktiv ikke ”påfører uforholdsmæssige eller unødige økonomiske byrder” på dem, som ikke er samfundsmæssigt eller økonomisk vigtige spillere, og at der sikres ”proportionalitet”.

Bramsen: For tidligt at sige
I en mail til Altinget uddyber forsvarsminister Trine Bramsen (S) sin holdning.

“Det er i klar dansk interesse at styrke modstandskraften mod cyberangreb. Så Kommissionens forslag flugter i høj grad med mit og regeringens syn på beskyttelse af kritisk infrastruktur. Det er dog fortsat meget tidligt i forløbet, og vi er i regeringen i gang med at drøfte forslaget med de mange interessenter på området. For vi skal undgå unødige administrative byrder og holde fast i, at det er sektorernes ansvar at implementere, som der er tradition for i Danmark,” skriver ministeren.

Derfor vil regeringen også have skabt mere klarhed over, hvad de nye regler kommer til at koste samfundet og statskassen i yderligere administration, inden den lægger sig fast på en holdning til forslaget.

EU-Kommissionen har selv regnet sig frem til, at relevante myndigheder skal regne med en stigning på 20-30 procent i ressourceforbrug, mens virksomheder, der  omfattes for første gang af reglerne, kan se frem til at bruge 22 procent mere end normalt på it-sikkerhed det første år efter direktivets indførelse.

”Regeringens stillingtagen afventer en nærmere vurdering af de statslige og de erhvervsøkonomiske konsekvenser,” lyder det i regeringens notat.

Spøgelset fra GDPR
Hos Dansk Industri sammenligner Morten Rosted Vang det nye udspil med det udskældte regelsæt om beskyttelse af persondata kendt som GDPR. Det efterlod mange virksomheder og myndigheder forvirrede over, hvordan de skulle leve op til reglerne, og bange for at blive ramt med den store bødehammer, hvis de gjorde noget galt.

Han stiller spørgsmålet, om massive bødestørrelser på helt op til 75 millioner kroner eller to procent af en virksomheds omsætning er den rigtige vej at gå på et område som cybersikkerhed, der er styret af risikovurderinger, og hvor passende tiltag er og skal være dynamiske for at tilpasse sig det skiftende trusselsbillede og den teknologiske udvikling.

"Det er derfor alene nogle minimumskrav, som virksomhederne skal leve op til, men ikke en udtømmende liste og heller ikke en udtømmende forklaring på, hvordan man lever op til det. Det vil være op til den kompetente myndighed at afgøre," siger han.

Han peger på, at mangel på klarhed og forudsigelighed kombineret med risikoen for store sanktioner kan være med til at skabe utryghed på cybersikkerhedsområdet for virksomhederne, ligesom det gjorde med GDPR.

"Det allervigtigste er, at vi ikke skaber en frygt for at anvende digitalisering og data, fordi der kommer til at være usikkerhed omkring det her," siger han.

Borgerne betaler
Også hos Kommunernes Landsforening laver man sammenligningen med GDPR. Her mener kontorchef Pia Færch med held, at man kunne have samlet systemerne mere, så man undgik dobbeltadministration, fordi der i begge EU-regelsæt er en række risikovurderinger, indberetningskrav med mere, der ligner hinanden.

"Det er en risiko for overbureaukratisering af administrationen. Lad os nu se, om vi kan tænke det sammen i stedet for at opbygge forskellige regimer til noget, som ligger lige op ad hinanden," siger Pia Færch.

Ligesom DI har KL det også stramt med, at kommunerne kan blive pålagt bøder, hvis de ikke lever op til de nye EU-krav.

"Det er lidt en EU-ting, at vi skal svinge en pisk. Og det er altid med bøder," siger hun.

"Men kommunalbestyrelserne står jo allerede til ansvar og kan blive pålagt dagsbøder. Så der er i de danske regler tænkt en mekanisme ind, som skal imødekomme det. Og vi synes, at bøder er uheldige, fordi hvis en kommune får en bøde på 200.000 kroner, så er der jo kun den kommunale service at tage dem fra," siger hun. 

Truslen er stigende
Postdoc Tobias Liebetrau fra Københavns Universitet, der forsker i blandt andet EU’s arbejde med cybersikkerhed, kan godt forstå nogle af de bekymringer, som erhvervsliv og myndigheder har, særligt med GDPR-bøvlet i frisk erindring.

Samtidig gør han dog klart, at det giver god mening at udvide reglerne, så de spænder bredere.

"Primært ud fra den betragtning, at truslen er stigende. Både at det bliver mere komplekst og kompliceret, og at vi ser mere grovere nationalstatsaktivitet med russisk, kinesisk, iransk og nordkoreansk hacking af forskellig slags, men også at cyberkriminalitet mere bredt er i stigning. Af den grund giver det mening at udvide direktivet,” siger han. 

rikke@altinget.dk