Om mindre end to år træder en ny udgave af EU-Kommissionens Network and Information Security Directive i kraft. Det hedder NIS2 og kommer til at omfatte langt flere sektorer samt langt flere typer af virksomheder, ligesom sanktionsmulighederne skærpes markant.
Hen over sommeren har EU-Kommissionen vedtaget tre nye regelsæt inden for it-sikkerhed, som virksomhederne inden for en tidsfrist på to år skal kunne leve op til. Der er tale om DORA, Digital Operational Resilience Act, som henvender sig til finanssektoren, der er tale om CER, Resilience of Critical Infrastructure, som gælder for virksomheder, der kan betegnes som kritisk infrastruktur og omfatter evnen til at kunne mønstre fysisk sikkerhed ved f.eks. naturkatastrofer, og så er der tale om NIS2, som er anden udgave af Network and Information Security Directive.
NIS1 direktivet stammer tilbage fra 2016, og blev implementeret i Danmark i 2018. Det dækkede også sektorer såsom sundhed og drikkevand, men angik alene net og informations- sikkerhed. Udfordringen har imidlertid været, at medlemsstaterne har haft ganske stor medbestemmelse i forbindelse med, hvorledes NIS1 skulle implementeres.
Nu falder EU’s store hammer
”Det har blandt andet betydet, at implementeringen er sket meget uens. Tilsvarende har det været frivilligt, om der skulle være mulighed for at sanktionere med bødestraf. Den mulighed har vi ikke anvendt i Danmark, så reelt har NIS1 haft lille betydning her i landet. Vi har set bødestraf i øvrige medlemsstater, men generelt har implementeringen været forskellig hen over Europa”. Det siger partner og advokat Julie Bak-Larsen fra det internationale advokatfirma Bird & Bird, der som internationalt techkontor arbejder med informationssikkerhed i hele Europa.
Samtidig har myndighederne generelt haft meget lidt fokus på at håndhæve regelsættet i NIS1, men nu kan man roligt sige, at EU-Kommissionen tager skeen i den anden hånd, hvilket Julie Bak-Larsen, set i lyset af den stigning, der har været blandt de cyberkriminelles aktiviteter over de senere år, egentlig mener er ganske rimelig. Hun tilføjer, at det ligeledes er hendes erfaring, at it-sikkerhed for alvor er kommet på nethinden hos langt de fleste virksomheder.
Større krav til ledelsesansvar
”Fælles for alle de tre nye regelsæt er, at der er tale om minimumsregulering, hvilket betyder, at man i forbindelse med udarbejdelsen har sat barren højt. Det kommer til at gælde både i forbindelse med muligheden for at give bøder samt de krav, der fremover vil blive stillet til ledelsen i en virksomhed. Der bliver tale om et ansvar, som nu for alvor skal forankres i såvel direktion som bestyrelse”, siger Julie Bak-Larsen videre.
Hendes klienter vil meget gerne allerede nu have en indikation af, om de er omfattet af NIS2, hvorledes de i givet fald bliver omfattet, hvilke krav der vil blive stillet til organisation samt implementering og krav til håndtering af forsyningskæden. De kender tilgangen til implementering af et tilsvarende fintmasket regelsæt som GDPR og ved også, at der foran dem ligger en krævende samt omstændig proces, der løbende skal forankres i den lokale og globale koncern.
Væsentlige og vigtige sektorer
”Med NIS2 bliver antallet af omfattede sektorer markant forhøjet til mere end det dobbelte i forhold til NIS1. Samtidig bliver forpligtelserne udvidet, muligheden for tilsyn bliver strammet, og som nævnt kommer der skrappe krav til bøder samt ledelsesansvar. Reglerne er dog ikke helt firkantede, for selv om små virksomheder som udgangspunkt ikke er omfattet, vil de i konkrete tilfælde kunne anses som så vigtige, at de alligevel bliver det”, uddyber Julie Bak-Larsen.
Det kan f.eks. være virksomheder inden for telesektoren, og desuden skelner man mellem væsentlige sektorer og vigtige sektorer, hvor den største forskel er, at de væsentlige sektorer vil kunne opleve både mere proaktive tilsynsmyndigheder samt større bøder. Som noget helt nyt er de offentlige myndigheder ligeledes omfattet af NIS, men medlemsstaterne kan selv bestemme, om offentlige myndigheder skal underlægges bødeansvar.
Flere virksomheder omfattes
”Hvis man summerer op, maler NIS2 med en bredere pensel end NIS1, både når det gælder mængden af omfattede virksomheder, ledelsesansvar samt ikke mindst risikostyring gennem hele forsyningskæden, f.eks. leverandører og samarbejdspartnere. Ligeledes betragtes fødevareproduktion samt produktion af maskiner datacentertjenester, cloudcomputing, kommunikationstjenester, udbydere af managed services og managed security service også som omfattede virksomheder”, forklarer Julie Bak-Larsen.
Som tilføjelse til det faktum, at der nu stilles væsentlig større krav til det ledelsesmæssige ansvar, er det endvidere vigtigt at nævne, at ledelsen også skal trænes i it-sikkerhed, således at man bedst muligt kan sikre, at ansvaret forankres ned gennem hele organisationen. Julie Bak-Larsen er imidlertid spændt på selve implementeringsfasen, det vil sige, om den fortsat vil være sektoropdelt, som det hidtil har været tilfældet for NIS1. Ikke alle sektorer og myndigheder er nemlig lige modne på it-sikkerhedsområdet, mener hun.