Krig er blevet hverdag i cyberspace. Hvert 11. sekund kan virksomheder globalt forvente, at cyberkriminelle forsøger at stjæle deres data eller tvangslukke it-systemer for så at forlange skyhøje løsesummer. Fænomenet, når hackere tager data som gidsel, kaldes ransomware.
Problemet er massivt – og stigende. Tilbage i 2016 oplevede erhvervslivet på global plan ransomware-forsøg hvert 40. sekund, men frekvensen er fløjet i vejret de senere år, og bare under krigen i Ukraine er antallet af cyberangreb steget mærkbart. Præcis derfor har det været tydeligt, at EU har været nødt til at opdatere fællesskabets lovgivning for cybersikkerhed, selvom reglerne kun er seks år gamle. Således går EU’s direktiv for cybersikkerhed snart fra at hedde NIS til NIS2.
”Hackerne har overhalet lovgivningen med lynets hast. Cyberangreb er en af de største trusler mod både erhvervslivet og borgernes data, og det kræver selvsagt politisk handling. Krigen i Ukraine har for alvor understreget det akutte behov for at opgradere sikkerheden,” fastslår Morten Løkkegaard, gruppeformand for Venstre i Europa-Parlamentet og eneste danske forhandler på de kommende regler for cybersikkerhed i EU.
Sårbart samfund
Den forværrede cybertrussel går hånd og hånd med digitaliseringen. Digitaliseringen tilbyder et ocean af nye muligheder for virksomheder, men den skaber også sårbarheder, som kan udnyttes af hackere. Samtidig sidder mange virksomheder samt myndigheder med ansvaret for kritisk infrastruktur, der rammer hele samfundet, hvis deres it-systemer kommer under hackerkontrol.
”Hvis en hacker nedlægger it-systemet på et hospital eller vandværk, kan det åbenlyst skade hele samfundet. På samme måde er eksempelvis online søgemaskiner og sociale medieplatforme central infrastruktur, som vi også er nødt til at stille cybersikkerhedskrav til, uddyber Venstres gruppeformand, som var chefforhandler i Europa-Parlamentets udvalg for EU’s Indre Marked.
Netop behovet for ens krav tager den kommende lovgivning for cybersikkerhed fat på. Som forhandler har Morten Løkkegaard arbejdet for at løfte sikkerhedsniveauet i hele EU. Et af de vigtigste formål med at opgradere reglerne er at harmonisere dem på tværs af medlemslande. Lovgivningen fra 2016 lod det være op til de enkelte lande at afgøre, hvorvidt bestemte sektorer skulle omfattes. De nye regler sørger for ens implementering på tværs af grænserne. Det samme gælder for virksomheder. Nu strømlines kravene til virksomheder, så de er ens for virksomheder i de sektorer, som indbefattes. For Morten Løkkegaard har det været vigtigt at skabe fleksibilitet i lovgivning for start-ups samt små og mellemstore virksomheder. Nationale myndigheder kan derfor undtage disse, hvis de vurderes ikke at råde over kritisk infrastruktur.
”Det er centralt for mig, at vi ikke overbebyrder mindre virksomheder, der reelt ikke udgør en sårbarhed for resten af samfundet. Vi skal undgå unødvendigt bureaukrati, hvis vi kan,” fremhæver Løkkegaard.
Nye krav til erhvervslivet
De kommende regler forpligter virksomheder, der er omfattet af reglerne, til at indrapportere eventuelle cyberangreb. Hyppigere indrapportering sikrer bedre koordination mellem medlemslande og giver mulighed for bedre advarselssystemer. Dertil kommer konkrete krav til sikkerhedsniveauet for it-systemer. Sidst men ikke mindst giver de nye regler mulighed for bøder, hvis virksomheder ikke overholder reglerne. Pointen er at få cybersikkerhed øverst på dagsordenen hos ledelsen i europæisk erhvervsliv, fordi vi i EU alt for længe har haltet bagefter, forklarer Morten Løkkegaard:
”Tidligere har det for ofte kun været it-afdelingen, som bekymrede sig om sikkerhedshuller, men nu skal fokus på cybersikkerhed også fylde i bestyrelseslokalet. Risikoen for bøder er noget, som fanger opmærksomheden. Og derfor er det et nødvendigt onde for at få erhvervslivet til at investere endnu mere i deres sikkerhed.”
Lovforslaget vedtages endeligt i november i Europa-Parlamentet, og fra lovgivningen træder i kraft har medlemslande 21 måneder til at gennemføre direktivet.