Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Det er overraskende og problematisk, at Forsvarsministeriet i Danmark for nyligt at meldt ud, at den danske implementering af NIS2-direktivet og søsterlovgivningen CER-direktivet bliver forsinket til cirka to måneder efter den deadline, som er fastsat i direktivteksten.
Hvis vi lige træder et par skridt tilbage, så er NIS2 et direktiv og ikke en forordning. Det betyder, at direktivet skal implementeres i nationalstaternes lovgivning, og det er den nationale implementering af lovgivningen, som myndigheder og virksomheder i hvert land skal efterleve.
Formålet med NIS 2-direktivet er at skabe et højt fælles cybersikkerhedsniveau på tværs af EU’s medlemsstater, og formålet med CER-direktivet er at styrke samfundskritiske virksomheders og myndigheders modstandsdygtighed.
Derfor er det vigtigt, at den nationale implementering af direktivet både sker rettidigt, og at den sker så ensartet på tværs af medlemslandene som muligt.
Dette har EU forsøgt at sikre sig ved at skrive mekanismer ind i direktivet, som skal sikre en koordinering på tværs af medlemslandene og ved meget klart og tydeligt at have indskrevet en deadline for medlemslandenes implementering af direktivet i national lovgivning.
Forsvarsministeren begrunder forsinkelsen med at ”det lovforberedende arbejde har taget længere tid end forventet”, hvilket gør, at implementeringen udskydes til Folketingssamlingen i oktober 2024.
Dette gør så, at Danmark kommer til at overskride implementeringsfristen, som er fastsat til den 17. oktober 2024.
For de myndigheder og virksomheder som skal efterleve direktivets krav, betyder dette også, at fristen for, hvornår de skal efterleve de nye krav, udskydes til efter lovforslagene er færdigbehandlede i Folketinget, og derefter trådt i kraft.
Fra et virksomhedsperspektiv er det positivt, at virksomhederne ikke skal lide under, at det offentlige ikke selv kan finde ud af at overholde en meget klar og tydelig deadline.
I et samfundsperspektiv kan det betyde, at danske virksomheder i en periode vil operere under andre lovkrav end virksomheder i resten af EU.
Efterlevelse af NIS2 medfører, at en virksomhed er bedre beskyttet mod cyberangreb, kan virksomheder, der endnu ikke har implementeret NIS2, udgøre en større risiko at samarbejde med, da de muligvis ikke har et tilstrækkeligt højt niveau af cybersikkerhed.
For dårlig planlægning
Ærligt talt undrer det mig, hvordan dette kan ske, når regeringen i lang tid har været klar over, at NIS2-direktivet var på vej.,
Især set i lyset af, at Center for Cybersikkerhed i starten af januar i år, selv skrev at der i forhold til implementeringen af direktivet i dansk lovgivning var lagt op til en minimumsimplementering. Altså en implementering, som i høj grad lægger sig tæt op ad direktivteksten.
Lad os kigge ned i statens maskinrum et øjeblik.
Planen var, at Forsvarsministeriet skulle fremsætte en hovedlov, der skulle skabe en fælles grundlæggende ramme for implementeringen af NIS2 på tværs af de omfattede sektorer.
Denne hovedlov skulle bemyndige ressortministerierne til at komme med bekendtgørelser, som skulle konkretisere NIS2-kravene for deres sektor.
Yderligere ville der for energisektoren, finanssektoren og telesektoren ske særskilt implementering med egen lovgivning. Dette betyder, at Center for Cybersikkerhed skulle udarbejde en modelbekendtgørelse, og den skulle danne basis for sektorernes bekendtgørelser.
Disse sektorbekendtgørelser skulle koordineres med Center for Cybersikkerhed, inden de ansvarlige ressortministerier kunne udstede dem.
Umiddelbart tyder det mest af alt på, at regeringen, og måske især Forsvarsministeriet, slet ikke har været klar til opgaven, selvom den har været i horisonten siden 2020, hvor det første udkast til NIS2-direktivet så dagens lys.
Det havde været rettidig omhu af Forsvarsministeriet at påbegynde det lovforberedende arbejde og koordineringen mellem de forskellige ressortministerier for lang tid siden.
Dele af direktivet har ændret sig fra det første udkast fra 2020, men langt det meste af teksten, formålet og implementeringen har ikke ændret sig.
Derfor kunne man med rette have forventet af Forsvarsministeriet, at man havde håndteret langt de fleste udfordringer forud for direktivets vedtagelse, således at der i store træk var foretaget alle afklaringer mellem ressortministerierne, da direktivet trådte i kraft den 17. januar 2023.
Hvad så nu
Allerede nu har de danske virksomheder, som sandsynligvis er omfattet af NIS2, befundet sig i en usikker position længe, og dette forlænges nu grundet den annoncerede forsinkelse.
For virksomheder, hvor det er usikkert, om de er omfattet, kan det være meget væsentligt at have så lang tid som muligt til implementeringen.
For virksomheder, hvor det ud fra direktivteksten er tydeligt, at de er omfattet, betyder udsættelsen nok ikke så meget, da de allerede forventer at blive omfattet og derfor forhåbentlig allerede har påbegyndt deres arbejde med at implementere og dokumentere kravene fra direktivet.
Kravene fra direktivtekstens artikel 20, 21 og 23 er stadig det mest relevante at se på for de virksomheder, der forventer at blive omfattet.
For dem er det primært behovet for en operationalisering eller forståelse af udmøntningen af kravene, som de vil mangle frem mod, at den forsinkede lovgivning kommer på plads i Danmark.
Jeg har et forslag
Når Forsvarsministeren selv er ude at sige, at ”for stadig at give erhvervsliv og myndigheder de bedste muligheder for at forberede sig på de kommende regler, arbejder Forsvarsministeriet på at sende lovforslagene i offentlig høring så hurtigt som muligt. Jeg lægger også stor vægt på, at der sker en tæt interessentinddragelse under den offentlige høring”, vil det give mening, hvis Forsvarsministeriet og regeringen hurtigst muligt melder ud, hvilke offentlige myndigheder som får opgaven som enten tilsynsmyndighed eller CSIRT for de omfattede sektorer.
Det vil jo efter al sandsynlighed være de tilsynsmyndigheder, som sammen med deres ressortministerie skal lave sektorbekendtgørelserne, der udspecificerer de konkrete krav, som rammer virksomheder i hver sektor.
Ligesom det vil være dem, der skal føre tilsyn med direktivets efterlevelse i deres respektive sektorer.
Hvis det er tydeligt for alle, hvem disse myndigheder bliver, vil de virksomheder, for hvem det er uklart, om de er omfattet, kunne få hjælp til at afklare dette.
Det vil hjælpe dem i forhold til at komme i gang med at implementere direktivets krav i bedre tid, end hvis de skal afvente den forsinkede implementering i dansk lovgivning.
Det burde i øvrigt ikke være et problem for myndighederne, da det alligevel vil være en opgave, de skal udføre, når direktivet er implementeret i dansk lovgivning.
I tråd med mine tidligere klummer vil jeg gerne benytte lejligheden til igen at komme med en klar opfordring til virksomheder, der forventer at være omfattet, eller som forventer, at deres kunder er omfattet: afvent ikke dansk lovgivning og dansk operationalisering af kravene.
I stedet skal I:
- Ikke afvente den danske implementering af direktivet.
- Implementere kravene fra artikel 21.
- Lav implementeringen ud fra en risikobaseret tilgang.
For dårlig planlægning
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.