NIS2-lovgivning udskudt til slutningen af 2024

Hvad betyder det? Og hvilke konsekvenser får det for cybersikkerheden i de organisationer, der er omfattet af direktivet?

Den 5. februar 2024 meddelte Forsvarsministeriet, at arbejdet med implementeringen af EU’s nye NIS2-direktiv i dansk lovgivning tager længere tid end forventet. Lovforslaget var oprindeligt planlagt til at blive fremsat for Folketinget i første kvartal af 2024, men på grund af lovarbejdets kompleksitet og omfang har det været nødvendigt at udskyde fremsættelsen til oktober 2024. 

Det betyder, at Danmark ikke kan overholde den implementeringsfrist, som EU har fastsat til den 17. oktober 2024. Ifølge Forsvarsminister Troels Lund Poulsen udskydes implementeringen med ca. to måneder. Direktiverne forventes dermed at træde i kraft i slutningen af 2024.

Udskydelsen har udløst bred kritik fra eksperter i cybersikkerhed, IT-jurister og konsulenthuse.
”Uanset hvordan man vender og drejer det, er udmeldingen fra Forsvarsministeriet tegn på nøleri, som vil komme til at være en gigantisk sovepude under cybersikkerheden”, udtaler Ulrik Ledertoug, Director of Business Development & Services hos Orange Cyberdefense Danmark.

NIS2-direktivets formål er at skabe et højere og mere ensartet cybersikkerhedsniveau for alle virksomheder, organisationer og myndigheder, der har ansvar for kritisk infrastruktur – såsom vand, energi, fødevarer, transport, kommunikation og sundhed. Forbedringen af cybersikkerheden skal ske på tværs af alle EU-medlemslandene, og det er der ifølge Ulrik Ledertoug i høj grad behov for i det trusselsbillede, vi står overfor – både nu og fremover.

”Det er samfundskritisk, at vi får styrket cybersikkerheden på grund af den ustabile geopolitiske situation i verden, som har medvirket til at øge cybertruslen markant. Men så længe der ikke findes nogen dansk NIS2-lovgivning, frygter jeg, at pressede direktioner og bestyrelser vil arbejde med alt muligt andet, der er tættere på forretningen. De rykker ikke af sig selv på opgaver som NIS2, før de er forpligtet til det ved lov”, vurderer han.

Ifølge Ulrik Ledertoug, er det kritisabelt, at der med udskydelsen ikke er sat en ny deadline for, hvornår de mange NIS2-omfattede virksomheder og offentlige organisationer, skal have deres sikkerhedsforbedringer i drift. Det er heller ikke meldt ud, hvem der bliver den tilsynsførende myndighed.

”Ifølge Forsvarsministeriets træder NIS2-direktivet først i kraft, når lovforslaget er færdigbehandlet i Folketinget, hvilket formentligt først i slutningen af 2024, men det er alt for vagt, og det får mange til at læne sig tilbage i stedet for at gå aktivt ind i NIS2-arbejdet”, siger Ulrik Ledertoug.

”Allerede nu ved vi, at mange af de berørte virksomheder, organisationer og myndigheder end ikke lavet nogen køreplan for de minimumskrav i NIS2, som alle véd skal implementeres, for det står sort på hvidt i NIS2-direktivet. Men fordi direktivet endnu ikke er implementeret i dansk lovgivning, er der stor fare for, at alle sover videre til ud på efteråret – imens alle dem, der vil os det ondt, for fuld kraft fortsætter med at afsøge vores kritiske infrastruktur for sårbare angrebspunkter”, forklarer Ulrik Ledertoug. Og han fortsætter:

”Hvis vi forestiller os en skala for cybersikkerhed, der går fra 1 til 5, hvor 1 svarer til lav modstandskraft over for cyberangreb og 5 svarer til optimal beskyttelse mod cyberangreb, så svarer NIS2-compliance til cirka 3,5 - 4.0. Men mange af selv de allerstørste danske virksomheder – som gennem en årrække har investeret massivt i deres cybersikkerhed – ligger i øjeblikket på omkring 1,5. Og SMV’erne er langt under det niveau.”

Ifølge Ulrik Ledertoug øger udsættelsen og den manglende faste deadline også risikoen for, at vi bliver kastet ud i en virkelig kaotisk proces til efteråret - særligt hvis det ender med, at vi får en meget kort deadline til fuld compliance.

”Fordi lovprocessen nu sluger en masse ekstra tid, kan man godt frygte, at det vil betyde virkelig kaotiske tilstande og arbejdsforhold for de berørte virksomheder, organisationer og myndigheder og for de danske sikkerhedsleverandører, fordi det skaber en situation, hvor flere lige venter og ser tiden an, til de kender den nye dato. Det skaber risiko for, at markedet bliver støvsuget for eksterne konsulenter og NIS2-eksperter i løbet af efteråret”, fortæller han. Og han fortsætter:

”Når alle, der er omfattet af de nye skærpede regler, opdager, at de har brug for hjælp, fordi de ikke kan løse hele opgaven med deres interne ressourcer, så risikerer vi en række alvorlige flaskehalsproblemer, fordi mange af de berørte virksomheder, organisationer og myndigheder får svært ved at nå i mål inden den nye deadline. Men på det tidspunkt vil der ikke være nok eksterne folk at hyre, fordi efterspørgslen vil være langt større end udbuddet”, lyder Ulrik Ledertougs bekymring.

Derfor er opfordringen fra Ulrik Ledertoug helt klar til alle berørte virksomheder, organisationer og myndigheder:

”NIS2 er noget alle bør have på dagsordenen – og prioritere højt nu. I må ikke gå i stå, men skal fortsætte med implementeringen på trods af udsættelsen, så I kan blive compliant hurtigst muligt. Hvis I ikke er startet endnu, så kom i gang. Det er især vigtigt, hvis man har kunder eller samarbejdspartnere i andre EU-lande, hvor den nationale implementering ikke er forsinket”, lyder hans anbefaling.

Når NIS2-direktivet er implementeret i dansk lovgivning – og trådt i kraft, skal alle, der beskæftiger sig med samfundskritisk infrastruktur, leve op til særligt skærpede forpligtelser inden for to centrale områder: Risikostyring og rapportering til myndigheder.

De nye skærpede cybersikkerhedskrav i NIS2-direktivet omfatter mellem 1.100-1.400 danske virksomheder, organisationer og myndigheder inden for bl.a. it-, energi-, transport-, sundheds-, finans- og fødevaresektoren, som skal forberede sig på at opbygge et it-forsvar, der er langt mere avanceret end det, de har i dag.

Som noget nyt pålægges ledelserne (direktionen og bestyrelsen) i de berørte virksomheder, organisationer og myndigheder også et juridisk ansvar for, at der er styr på cybersikkerheden og der vanker store bøder på helt op til 10 millioner euro eller 2 pct. af den årlige globale omsætning, hvis man ikke lever op til kravene i direktivet.

Ifølge Bo Drejer, der er GRC Manager hos Orange Cyberdefense, venter der en stor del af de berørte virksomheder, organisationer og myndigheder en omfattende, men ikke umulig opgave, hvis man sætter sig ordentligt ind i de nye regler, og forbereder sig bedst muligt på, hvad der venter, så man er klar når de nye skærpede cybersikkerhedskrav en gang træder i kraft.

”Hvis man bare læner sig tilbage i sofaen og smækker benene op på kaffebordet, løber man en enorm cyberrisiko. Vi har længe kunnet se, at antallet af alvorlige cyberangreb stiger og vi er blevet mere sårbare. Det hjælper en udskydelse ikke ligefrem på, og det er bekymrende, for den kedelige udvikling ser bare ud til at fortsætte. Derfor er det vigtigt, at implementeringen af de nye regler sker samtidigt i EU”, fortæller han.

Noget af det allervigtigste alle berørte virksomheder, organisationer og myndigheder kan gå i gang med lige nu, er at lave en risikovurdering, så de kan få et overblik over, hvor sikkerhedsmodne de er – og hvilke indsatsområder, de skal prioritere først.

”Første skridt er at få lavet en risikovurdering, som giver overblik. Det er en vigtig og værdifuld forudsætning for, at man kan foretage den nødvendige optimering af ressourcer og prioritering af indsatsområder, hvilket er fundamentet for, at man kan arbejde målrettet med at styrke den operationelle cybersikkerhed. Alt det kan Orange Cyberdefense hjælpe med”, forklarer Bo Drejer. Og han fortsætter:

”I samarbejde med vores kunder laver vi en risikovurdering – og her handler det altid om at identificere de fundamentale og vigtigste forretningsfunktioner, som derefter gør det muligt at definere og implementere de konkrete sikkerhedstiltag, der sikrer, at man er beskyttet tilstrækkeligt i forhold til at blive NIS2 compliant.”

Risikovurderingen er selve grundforudsætningen for at kunne prioritere de operationelle sikkerhedstiltag og konkrete indsatsområder. For at kunne opbygge den nødvendige resilience, handler det om at opbygge en modstandsdygtighed, som sikrer mod kompromittering af kritiske netværk, systemer, data og applikationer i form af:

• Protection – det er her der ”sættes lås på døren”, så man mindsker risikoen for ulovlig indtrængen
• Response – det er her, man ”fanger og inddæmmer” en ulovlig indtrængen og afbøder et angreb
• Recovery – det er her man reetablerer til normal tilstand igen

Ønsker du mere information, rådgivning eller hjælp til at blive NIS2-compliant så kontakt Bo Drejer: bo.drejer@orangecyberdefense.com

Europaparlamentet har vedtaget NIS2-direktivet som en opfølgning på det tidligere NIS-direktiv fra 2016. Begge direktiver sigter mod at forbedre cybersikkerheden i kritiske sektorer på tværs af EU, da samfundet bliver stadig mere afhængigt af digitale systemer. Med en øget trussel fra avancerede cyberangreb og cyberafpresning, er det afgørende, at både virksomheder, offentlige organisationer og myndigheder styrker deres cyberforsvar markant.