Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Når EU-regulativer trækker overskrifter, handler det ofte om banaliteter som mængden af kanel i vores onsdagssnegle eller dødstrusler mod vores elskede lakridspiber – og knap så meget om de hundredvis af andre, ofte yderst nødvendige, regelsæt, som rent faktisk kommer fra Strassburg.
Alligevel har NIS2 sendt kuldegysninger igennem hele Europa hos alle os, der arbejder med data.
Det kommende databehandlingsregulativ dikterer, hvordan virksomheder underlagt NIS2 og offentlige institutioner skal sikre, dokumentere og validere sikker datatrafik og oppetid – også på tværs af alle dens leverandører.
De skal altså – hvis de eksempelvis benytter amerikanske it-sikkerhedsplatforme – stå til regnskab for deres databehandling og kunne dokumentere deres retmæssige håndtering af følsomme data.
Det lyder som et proces-spørgsmål, men lever man ikke op til regelsættet – eller oplever man et decideret NIS2-brud, ja så bliver de økonomiske og virksomhedsmæssige sanktioner voldsomme.
Heldigvis er der en genvej til compliance, for med NIS2 bliver it-sikkerhedsselskaber opdelt i et A og et B-hold.
Ved at sætte dine penge på den rette hest kan du drastisk reducere den arbejdsbyrde, du og din virksomhed skal stå med.
Hvem har aben?
NIS2 er en nødvendig forordning og en forlængelse af det eksisterende NIS-regulativ (Network & Information Security), som blandt andet gav os den vigtige ISO27001-standard.
Hvor GDPR stiller krav til, hvordan personfølsomt data behandles, så stiller NIS2 kort fortalt krav til, hvordan personfølsomme data transporteres.
Det handler om at styre risiciene for sikkerheden i ens netværks- og informationssystemer, som NIS2 selv formulerer det.
Som udgangspunkt er det offentlige institutioner, organisationer og virksomheder som defineres som kritisk infrastruktur – altså virksomheder som leverer så afgørende en service til samfundet, at vi ikke kan klare os uden.
Det gælder teleudbyderne, store fødevarekæder og medicinalindustrien – alle som er underlagt NIS2.
Men den slutter ikke der. For er du eksempelvis europæisk it-sikkerhedsudbyder til en af de ovenstående virksomheder, så skal du leve op til samme regelsæt.
Omvendt kan du også regne med, at europæiske virksomheder, som du samarbejder med, og som skal overholde NIS2, også gør det – og dermed har de en stor del af ansvaret for, at NIS2 overholdes – og du kan både spare energi og slappe lidt mere af.
Problematikken opstår dog, når du arbejder sammen med ikke-europæiske virksomheder, for når de ikke skal leve op til det samme regelsæt, så hænger du som virksomhed på ansvaret.
”Made in Europe – stays in Europe”
EU-lovgivning gælder naturligvis kun for EU-virksomheder, og derfor skal amerikanske virksomheder heller ikke stå til ansvar for de nye regelsæt.
Mange vil nok i større eller mindre grad forsøge at implementere dem for at gøre det lettere for EU-virksomheder og lande at handle med dem, men i sidste ende hænger du på ansvaret.
Du skal som virksomhed stå inde for og kunne dokumentere følgende i forhold til din it-sikkerhedsleverandør:
- Du skal kunne dokumentere, hvordan løsningen er udviklet og designet.
- At virksomheden overholder NIS2.
- At virksomheden overholder GDPR.
- ISO, PSSI, PQS, PAS samt selskabets kontraktstyring.
- Omstændig, uvildig gennemgang og validering af selskabets dokumentation.
- Historisk hændelsesdokumentation til EISA og Datatilsynet.
At virksomheden ikke benytter metadata fra din virksomhed.
Alt det skal du som virksomhed kunne dokumentere – altså medmindre de er europæiske.
For er it-sikkerhedsvirksomheden europæisk, så skal de kunne dokumentere og redegøre for alt ovenstående – og vigtigst af alt, så er det it-sikkerhedsvirksomheden, som sidder med ansvaret, så du kan fokusere på resten: Uddannelse af medarbejdere, driftskontinuitet og risikoanalyse blot for at nævne nogle stykker.
Men det betyder også, at der kommer et A og et B-hold, når det kommer til it-sikkerhedsleverandører.
For imens at de helt store, men ikke-europæiske sikkerhedsleverandører absolut leverer glimrende løsninger til at beskytte din virksomhed, så står du med et ansvar for deres datahåndtering – modsat hvis du vælger en af de mange europæiske leverandører, ja så er der lidt mindre EU-politik at holde styr på.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.