NIS2-direktivets implementering skaber bekymring
De mange danske ministerier, der er beskæftiget med det danske cyberforsvar, har en stor koordinationsopgave i forhold til det nye EU-direktiv om net- og informationssikkerhed – det såkaldte NIS2-direktiv, som bliver til dansk lov med virkning fra efteråret 2024.
I forhold til lovprocessen er Rådet for Digital Sikkerhed bekymret på mindst tre fronter:
For det første savner de pt. ca. 1100 danske virksomheder, som direkte berøres af direktivet, klarhed over de rammer og bestemmelser, der fastsættes på de enkelte af direktivets i alt 18 sektorområder, fx energi-, transport- eller sundhedssektoren – og det er faktisk endnu ikke klart, om der skal tilføjes flere virksomheder til listen, herunder om for eksempel kommunerne er omfattet.
Selvom langt de fleste større virksomheder har godt styr på it-sikkerheden, er bekymringen, om man når i mål med de nye NIS2-krav, meget stor. En del virksomheder har gennem flere år haft stort fokus på deres egen it-sikkerhed og er godt rustet til at møde de nye NIS2-krav, der fastsættes for at sikre EU-landenes kritiske it-infrastruktur. Andre virksomheder har selvsagt fokus på it-sikkerheden, men det er nyt, at de omfattes af kravene.
Hvis den danske lovgivning med tilhørende vejledninger kommer meget sent i forhold til deadline – hvilket meget tyder på – så har virksomhederne ringe mulighed for at justere deres sikkerhedsorganisation og leverandørstyring, som er helt afgørende for NIS2-direktivets målsætning om bedre cyberforsvar.
For det andet er vi bekymret i forhold til, om det spredte ministeransvar giver tilstrækkelige muligheder for harmonisering af sikkerhedskravene på tværs af sektorer. Flere virksomheder kan på grund af deres forretningsportefølje forvente at skulle leve op til forskellige sikkerhedskrav, der i substansen er meget eller helt identiske, men som på grund af sektoropdelt lovgivning vil kræve forskellige bureaukratiske procedurer. Vi er kort sagt bekymret for, at en uhensigtsmæssig og usmidig implementering vil føre til overbureaukrati.
For det tredje rejser Rådet for Digital Sikkerhed flaget i forhold til koordination af NIS2-kravene på tværs af EU-landene. Danske virksomheder sælger til Europa og får leverancer fra andre EU-lande. Det er helt afgørende, at man som virksomhed, der har sikkerheden i orden i eget hus, kan have tiltro til at det etablerede beredskab anerkendes på tværs af landegrænserne – og at dem man handler med, lever op til fælles standarder.
I Rådet for Digital Sikkerhed følger vi lovgivningsprocessen på dansk og europæisk plan. Vi har fokus på best practice, og på hvordan danske virksomheder kan omsætte allerede etablerede sikkerhedsforanstaltninger og -procedurer til de kommende NIS2-krav. Endelig er det helt afgørende, at vi på tværs af virksomheder og sektorer får udvekslet erfaringer og synspunkter.
/RfDS 4. oktober 2023