Rådgiver i cybersikkerhed: EU’s NIS-direktiv skal ikke overrumple os, ligesom GDPR gjorde

Debat | Print

En opdatering af EU’s NIS-direktiv er på vej og indebærer, at flere sektorer skal forbedre it-sikkerheden. Direktivet indbefatter omfattende bødesanktioner, hvis ikke man retter til efter reglerne. Vi skal ikke undervurdere arbejdsbyrden, og derfor er det på tide at at begynde arbejdet, skriver Philip Sandahl Johansen.

I 2018 trådte EU’s NIS-direktiv (netværk- og informationssystemer) i kraft. Udvalgte udbydere i udvalgte sektorer med national kritisk infrastruktur må sikre, at organisationen har styr på de understøttende it-systemer for den kritiske infrastruktur.

NIS2 er en udvidelse, som skærper reglerne ved at stille øgede krav til sikkerhed i informationssystemer hos for eksempel visse forsyningsvirksomheder.

Fra NIS til NIS2

Med opdateringen af NIS-direktivet, NIS2, er ambitionerne skruet i vejret. Og hvem skulle være imod at højne niveauet for cybersikkerhed på tværs af kritisk infrastruktur i EU’s medlemslande og implementere ensartede krav for udvalgte samfundskritiske sektorer?

NIS2 inkluderer blandt andet en større inklusion af flere relevante sektorer. En opdeling af omfattede udbydere mellem essentielle/væsentlige eller vigtige skærpede krav til sikkerheden og krav om aktivt myndighedstilsyn og bødesanktioner. Med udsigt til bøder svarende til op mod to procent af en virksomheds globale omsætning eller ti millioner euro ved overtrædelse af direktivets krav, så bør der ikke mangle motivation for at prioritere NIS2.

Det er naturligvis ikke gratis for de omfattede organisationer, og EU-Kommissionen forventer, at omfattede udbydere må forvente en stigning på 22 procent af sikkerhedsbudgettet til omkostninger til informationssikkerhedsaktiviteter for de nye sektorer inkluderet i NIS2. Såfremt EU-Kommissionen har ret, så bør det kommende sikkerhedsarbejde være en prioritet hos de berørte ledelser og bestyrelser.

Øgede krav og omfang

For de nuværende omfattede sektorer såsom transport, vand og energi er NIS-direktivet ikke en nyhed, og her bør sikkerhedsarbejdet være godt undervejs og forankret. For andre sektorer, som nu også skal leve op til NIS2, vil der være behov for en systematisk håndtering af cybersikkerhedsarbejdet.

Blandt kravene ses risikostyring og sikkerhedstiltag, hændelseshåndtering, bestyrelsesansvar, business continuity-planer herunder beredskab, leverandørstyring. Med andre ord: Der er mange områder at tage fat på. Hvilke krav, en enkelt udbyder skal leve op til, vil kræve en nærmere analyse, da kravene er afhængige af henholdsvis sektor og udbyderens størrelse.

Start tidligt og kom foran

De fleste kan nok enten huske at have set eller gennemlevet stormløbet i foråret 2018, forud for at GDPR-direktivet trådte i kraft. Mange gik for sent i gang, og endnu flere undervurderede arbejdsbyrden. Lad os lære af den erfaring.

Med en tidslinje på estimeret to år, før NIS2 træder i kraft, er der rig mulighed for, at de påvirkede organisationer kan forberede sig.

Undersøg, om I bliver en udbyder under essentiel/væsentlig eller vigtig området, hvilke sikkerhedstiltag I bør implementere, og hav for øje, hvordan arbejdet kan skabe organisatorisk værdi.  Der er ingen grund til at se dette som kedeligt compliance-arbejde – se derimod NIS2 som en løftestang til at få allokeret budget og få styrket cybersikkerheden.  

Det vil kræve arbejde at komme i mål, og det forudsætter, at der er ledelser og bestyrelser, som vil afsætte de nødvendige midler. Enten i form af interne ressourcer eller eksterne konsulenter. Ligeledes skal man ikke glemme, at vedligeholdelse af de implementerede tiltag er lige så vigtigt som selve implementeringen.

Nedenfor er oplistet de sektorer og delsektorer, der bliver omfattet af den øgede dækning af NIS2 i henhold til fastsatte grænseværdier efter medarbejderantal og omsætning.

Essentielle/væsentlige udbydere indenfor:

  • Energi (elektricitet, fjernvarme og fjernkøling, olie, gas og hydrogen)
  • Transport (luft-, jernbane-, vand- og vejtransport)
  • Bankvæsen og finansielle markedsinfrastrukturer
  • Sundhed, fremstilling af farmaceutiske produkter (herunder vacciner) og af kritisk vigtigt medicinsk udstyr
  • Drikkevand og spildevand
  • Digital infrastruktur (internetudvekslingspunkter, DNS-udbydere, TLD-navneregistre, udbydere af cloud computing-tjenester, udbydere af datacentertjenester, net til indholdsdistribution, tillidstjenesteudbydere, og offentlige elektroniske kommunikationsnet samt elektroniske kommunikationstjenester)
  • Offentlig forvaltning og rumteknologi.

Vigtige udbydere indenfor:

  • Post- og kurertjenesteydelser
  • Affaldshåndtering, kemikalier, fødevarer og fremstilling af andet medicinsk udstyr
  • Computere og elektronik
  • Maskinudstyr og motorkøretøjer
  • Digitale udbydere (onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester).

{{toplink}}

Forrige artikel Netværk: Lovgivning står i vejen for brugen af bioalternativer til pesticider Netværk: Lovgivning står i vejen for brugen af bioalternativer til pesticider Næste artikel Fiskeriforening, Akvakultur og L&F vil have klimamærke på EU-niveau: Concitos database kan ikke bruges Fiskeriforening, Akvakultur og L&F vil have klimamærke på EU-niveau: Concitos database kan ikke bruges

arbejdsmarked
arktis
by og bolig
børn
christiansborg
civilsamfund
civilsamfundets videnscenter
digital
embedsværk
energi og forsyning
erhverv
etik og tro
eu
fonde
forskning
forsvar
fødevarer
hovedstaden
idræt
klima
kommunal
kultur
maritim
miljø
social
sundhed
transport
uddannelse