IT-Branchen (ITB) har samlet en række anbefalinger til de danske virksomheder, der snart bliver ramt af NIS2 og de dertilhørende it-sikkerhedskrav fra EU.
Ifølge ITB vil 1.400 danske virksomheder blive defineret som en del af den kritiske infrastruktur efter det nye EU-direktiv træder i kraft i oktober 2024.
Til sammenligning har blot 130 danske virksomheder været kategoriseret som værende kritisk dansk infrastruktur tidligere.
Det er blandt andet dele af detailhandlen samt en række fødevareproducenter,
restauranter og transportvirksomheder, som også fremover vil blive defineret som en del af den kritiske infrastruktur og dermed skal leve op til de omfattende it-sikkerhedskrav, som NIS2-direktivet kommer med.
Se alle anbefalingerne nedenfor - først anbefalinger til lovgivning og organisering og herefter anbefalinger til implementering i virksomhederne:
Anbefalinger til lovgivning og organisering
Fælles rammelovgivning og ens krav
Det nuværende NIS1 direktiv, som omfattede syv sektorer, er i dag implementeret jævnfør sektoransvarsprincippet via 13 forskellige bekendtgørelser.
Følges den samme fremgangsmåde med NIS2, kan slutresultatet bliver mere end 30 forskellige bekendtgørelser.
Derfor anbefaler ITB, at der udarbejdes en fælles rammelovgivning, som i passende omfang respekterer sektoransvarsprincippet, men også er operationel og sørger for, at sektorernes tiltag er sammenlignelige, passer til risici, afspejler sektorernes interdependens og kan rapporteres på en fælles form.
Begrænsning i antal nye CSIRT’er
ITB anbefaler, at der arbejdes på etablering af fælles CSIRT’er og herunder afklares, om der er flere sektorer, der kan operere under samme myndighed med henblik på blandt andet at opnå en højere grad af omkostningseffektivitet, undgå unødig mangel på og udvanding af kompetencer samt unødig forsinkelse i implementeringen hos myndighederne.
Dette vurderes fint at kunne fungere sammen med de nuværende CSIRT’er, der allerede er etableret i forbindelse med NIS1, lyder det.
Samarbejde om etableringen af CSIRT’er
ITB anbefaler, at etableringen af CSIRT’er skal ske i samråd med berørte brancher og med mulighed for finansieringsbidrag. Der skal også være en kompetent tilsynsmyndighed.
Dertil bør det overvejes, hvilke opgaver myndighederne med fordel kan udlicitere til private cybersikkerhedsaktører for at understøtte og fremme offentlig-privat samarbejde på cybersikkerhedsområdet.
Ensartet tilsynskoncept
ITB anbefaler, at der etableres et ensartet myndighedstilsyn, der sikrer, at virksomheder, der opererer i mere end én omfattet sektor, ikke bliver mødt af tilsyn fra flere forskellige myndigheder, der stiller forskelligartede krav og forpligtelser.
Virksomhederne skal kunne nøjes med at forholde sig til én tilsynsmyndighed eller at tilsynsmyndighederne samordner deres arbejde.
Fælles tilsynskoncept
ITB anbefaler ligeledes, at der udarbejdes et fælles tilsynskoncept, som sikrer, at sektorerne kan sammenlignes, og at der automatisk kan opsamles data på tværs af sektorerne til en samlet national vurdering af risici og compliance.
Harmonisering af NIS2 på europæisk plan
ITB opfordrer også til, at Danmark bidrager til at sikre koordination og harmonisering ift. implementeringen af NIS2 på europæisk plan, så de virksomheder, der er aktive i andre EU-lande, ikke rammes af forskellige krav, men kan bruge samme tilgang til compliance på tværs af alle landene.
Balanceret dansk implementering
NIS2 direktivet er et minimumsdirektiv, hvilket betyder, at de enkelte medlemsstater kan vælge at implementere yderligere eller at skærpe krav.
ITB anbefaler, at eventuel skærpelse af krav overvejes nøje i forhold til risikoen for at danske virksomheder stilles dårligere i konkurrence med virksomheder fra andre medlemsstater.
Koordinering med anden regulering
ITB anbefaler, at der sikres samspil med andre reguleringstiltag inden for sikkerhedsområdet, som enten er vedtaget eller undervejs, så de samme foranstaltninger kan understøtte flere lovgivninger.
Kortlægning af foranstaltninger
ITB opfordrer til, at der fra myndighederne udarbejdes en kortlægning af foranstaltninger blandt andet i forhold til ISO-standarder og andre relevante standarder, så harmonisering af implementeringen understøttes.
Der skal samtidig etableres et fælles ensartet begrebsapparatet, der anvendes af alle omfattede enheder.
Dette bør koordineres med det pågående arbejde i ENISA vedrørende en operationalisering af kravene i artikel 21 til NIS2-direktivet.
Kommuner skal omfattes af NIS2
ITB opfordrer til, at de danske kommuner omfattes af NIS2, så direktivet kan bruges som løftestang til et kærkomment løft af cybersikkerheden i kommunerne, og der samtidig sker en harmonisering af niveauet af cybersikkerhed på tværs af hele den offentlige sektor (stat, regioner og kommuner).
Vægt på de positive effekter af en øget cybersikkerhed frem for et ensidigt fokus på de negative konsekvenser af manglende efterlevelse af NIS2.
Anbefalinger til implementering i virksomhederne
Rettidig vejledning til virksomhederne
En analyse lavet af IRIS Group og Industriens Fond viser, at virksomhederne i høj grad efterspørger styrket vejledning om eksisterende og ny regulering samt adgang til best practise cases.
Det er vigtigt, at vejledningen kommer snarest så virksomhederne har den tilgængelig i forbindelse med deres implementering af NIS2.
ITB opfordrer derfor til, at der hurtigst muligt udarbejdes en praktisk vej ledning om, hvorledes NIS2-kravene efterleves og implementeres. Vejledningen skal blandt andet omfattende følgende:
• NIS2 direktivet stiller direkte krav til ledelsens involvering i arbejdet omkring cybersikkerhed. ITB opfordrer til, at det præciseres, hvordan begrebet ”ledelsesorgan” skal forstås i en dansk kontekst, det vil sige en præcisering af de personer og organer i ledelsen, som skal godkende og føre tilsyn med cybersikkerhedsrisici.
• De direkte omfattede virksomheder skal have hjælp til fortolkning af implementeringslovgivningen, gerne med udgangspunkt i konkrete eksempler. Virksomhederne skal understøttes i prioriteringen af sikkerhedstiltag ud fra risiko- og væsentlighedsvurderinger. Dette kan for eksempel suppleres af en 10-punktliste med basale cybersikkerhedstiltag, der adresserer minimumskravene i NIS2 og som bringer virksomheden godt i retning af overholdelse af direktivet.
• Der skal være særligt fokus på at rådgive virksomhederne omkring kravene til forsyningskædesikkerhed, herunder hvilke typer af underleverandører, der skal stilles krav til, hvilke krav de skal stille samt, hvordan overholdelse af kravene dokumenteres i forhold til myndighedstilsyn for eksempel via anvendelse af certificeringer og/eller eksterne (revisions)audits.
• Leverandører til direkte omfattede virksomheder skal ligeledes have klar vejledning om konsekvenserne af NIS2 og implementering af nødvendige foranstaltninger, for eksempel i forhold til ansvarsfastlæggelse og eventuel genforhandling af kontrakter med NIS2-omfattede kunder med videre.
Positive effekter af NIS2
Cybersikkerhed er ikke kun et lovkrav, men i stigende grad også et krav fra samarbejdspartnere, kunder og investorer. Industriens Fonds cyberbarometer viser bl.a. at bedre cybersikkerhed styrker virksomhedernes konkurrencefordele i form af effektivitet og nytænkning, øget tillid og bundlinje.
ITB tilskynder derfor til, at der i den generelle kommunikation til virksom hederne også lægges vægt på de positive effekter af en øget cybersikkerhed frem for et ensidigt fokus på de negative konsekvenser af manglende efterlevelse af NIS2.
Anvendelse af D-mærket
ITB anbefaler, at der samarbejdes med D-mærket, så det bliver et konkret værktøj til at hjælpe virksomhederne med at leve op til de anførte minimumsforanstaltninger i NIS2 (sammen med øvrige relevante standarder og certificeringer som for eksempel ISO 27001).