Det nye NIS2 EU-sikkerhedsregulativ er fint og godt, men implementeringen kræver både en fast og en konsekvent hånd. Det mener en af it-branchens sikkerhedseksperter, der frygter, at tiden frem mod regulativets ikrafttræden i 2024 vil blive forvirrende for mange virksomheder. Konsekvenserne bliver mange, hvis ikke virksomhederne får styr på NIS2.
I midten af 2024 træder en ny udgave af EU’s Net- og Informationssikkerhedsdirektiv, NIS2, i kraft. Det regulerer virksomheder og myndigheder på cyber- samt informationssikkerhedsområdet og kommer til at omfatte en række sektorer, der ikke tidligere har været omfattet af regulering. Blandt andre sektorer inden for fødevarer, spildevand og affald samt udvalgte sektorer i fremstillingsindustrien.
Det udvider kravene til og sanktioneringen af it-sikkerhed og betyder, at langt flere danske virksomheder end tidligere skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn. Hvis man spørger Torben Clemmensen, der er IT Security Specialist & PreSales Engineer i VIPRE Security Group, er han rigtig glad for det nye direktiv. Lovgivningen er god, mener han, men samtidig er han bekymret for, hvorledes den skal implementeres, hvilket kan skabe en række alvorlige konsekvenser for virksomhederne.
Lovgivningen kan fortolkes
”Med det mener jeg, at vi – i hvert fald som det ser ud lige nu – i høj grad kommer til at mangle implementeringsmæssig konsekvens. På den ene side lancerer EU en lovgivning, der langt hen ad vejen er glimrende, men som også giver mulighed for meget vide fortolkningsmæssige rammer. Det er noget skidt, hvis vi samtidig mangler et fælles organ til at yde ensartet og stringent rådgivning til virksomhederne,” siger Torben Clemmensen.
Grundlæggende er der rent lovgivningsmæssigt mange gode sikkerhedsinitiativer i NIS2. Men Torben Clemmensen er samtidig af den opfattelse, at det reelt ikke kan være nødvendigt med lovgivning på et område, hvor sund fornuft burde kunne løse en lang række af de sikkerhedsmæssige udfordringer. Sund fornuft, som burde omhandle såvel hardware- som softwaremæssige sikkerhedstiltag og ikke mindst brugeradfærd.
Nogle brancher lades i stikken
”I min optik er en af de helt store udfordringer, at it-sikkerhed ikke kun handler om teknologi, men også om brugernes tilgang til den. For nogle år siden skulle vi implementere EU’s lovgivning for beskyttelse af personfølsomme data, GDPR, og nu får vi så endnu en lovgivning, nemlig NIS2. En af de store forskelle er imidlertid, at mens der efter skæringsdatoen for GDPR var en overgangsordning på et par år, gælder NIS2 fra første dag, at den implementeres juridisk,” siger Torben Clemmensen videre.
De fleste brancher vil fint kunne håndtere den nye lovgivning, mens andre vil få yderst svært ved at være parat den dag, hvor lovgivningen træder i kraft. Et eksempel er detailbranchen, hvor hovedparten af Point of Sales systemerne, herunder kasseapparaterne, overhovedet ikke er gearet til at leve op til nutidens sikkerhedsstandarder.
Alle glemmer brugerne
Typisk er Point of Sales systemer af ældre dato og slet ikke gearet til at håndtere de sikkerhedsmæssige end-points, som NIS2 kræver. Samtidig er der tale om en branche, hvor medarbejderne har travlt og kun alt for sjældent er trænet til at være opmærksom på sikkerhedsmæssige aspekter. Det samme gælder eksempelvis sundhedssektoren, hvor der også knokles.
”Sundhedspersonalet har travlt nok med at tage sig af de faglige opgaver og er slet ikke sporet ind på også at skulle beskæftige sig med it-sikkerhed. For mig at se er det altså klart et problem, at EU melder ud med en formålsmæssigt glimrende lovgivning, men uden at tænke på brugerne, der er en mindst lige så vigtig faktor i den sikkerhedsmæssige ligning,” uddyber Torben Clemmensen. I den sammenhæng nævner han også vigtigheden af god rådgivning. Han fortsætter:
Må man køre over for rødt
”For mig at se står vi i en situation, hvor alt for mange organer skal på banen for at rådgive omkring NIS2. Det betyder, at hvis du er i restaurationsbranchen, får du måske et svar på, hvordan du bliver compliant til NIS2, og hvis du er i transportbranchen, får du et andet svar. Vi har rigtig mange brancheorganisationer, der hver især vil tolke budskabet til deres medlemmer, og det vil kun være med til at skabe forvirring”, siger Torben Clemmensen.
Til sammenligning nævner han færdselsloven. Uanset hvilken bil, man kører i, ved alle, at det ikke er tilladt at køre over for rødt, lige som alle ved, at når lyset bliver grønt, så må man gerne køre. Færdselsloven er altså en konsistent lovgivning uden de store muligheder for fortolkning. Det samme kunne Torben Clemmensen godt tænke sig var tilfældet i forhold til NIS2 og implementeringen af det nye EU-regulativ.
Flere regulativer kommer til
”NIS2 bliver ikke det sidste regulativ. Vi vil eksempelvis også komme til at se regulativer inden for Edge Computing og Artificial Intelligence, så lige pludselig er der rigtig mange ting at forholde sig til. Jo mere komplekse tingene bliver, jo flere virksomheder risikerer vi på forhånd vil give op, gemme sig i mængden og håbe, det går godt. Men hvis først hammeren falder, kan det meget hurtigt blive ikke bare dyrt, men rigtig dyrt”, siger Torben Clemmensen.
I modsætning til GDPR vil NIS2-direktivet ikke få en lang indkørselsperiode, hvilket vil formodentligt vil være det samme med andre, kommende direktiver fra EU. Ifølge Torben Clemmensen handler det derfor om at skabe et forum, hvor alle virksomheder uanset branche kan henvende sig og få neutral, uvildig samt ikke mindst ensartet rådgivning.
Hvem vil straffes dobbelt?
”Mit drømmescenarie er, at vi skal undgå skræmmekampagner. Der skal etableres en seriøs og sober rådgivning helt uden om branchemæssige og kommercielle interesser. Rådgivning, der er enkel, neutral og forståelig således, at det er rådgivning, der udelukkende er baseret på lovgivningen. Vi skal gøre det nemt for alle typer af virksomheder, store som små, for ellers er der alt for mange, som vil give op på forhånd”, slutter Torben Simonsen.
Og der er grund til at tage NIS2 seriøst. Fremadrettet griber EU nemlig den store bødehammer, og virksomhederne kan meget nemt risikere at blive straffet to gange for samme forseelse, nemlig manglende datasikkerhed i forbindelse med både GDPR og NIS2. Derfor er hans budskab, at rådgivning skal være objektiv, tilgængelig og forståelig formidlet af ét centralt organ.