Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Snart indtræder en ny virkelighed, hvor et enkelt fejltrin i virksomhedens it-sikkerhed ikke bare koster millioner af kroner, men potentielt også virksomhedsledere jobbet.
Siden december 2022 har det stået klart, at over 160.000 europæiske virksomheder skal styrke deres informations- og it-sikkerhed for at beskytte den kritiske infrastruktur.
Den 1. marts 2025 – efter flere udsættelser – forventes NIS2-direktivet at træde i kraft i Danmark, og konsekvenserne er mere vidtrækkende end nogensinde før.
Selvom NIS2-direktivet utvivlsomt vil øge fokus på cybersikkerhed, har flere centrale aktører, herunder Kommunernes Landsforening (KL), Dansk Industri (DI), Kombit og IT-Branchen, i deres høringssvar i august udtrykt bekymring for den praktiske implementering af direktivet.
De peger alle på, at der i lovudkastet mangler klare retningslinjer og vejledninger, der kan hjælpe virksomheder og ledere med at forstå, om de er omfattet af NIS2, og hvordan de konkret skal leve op til kravene.
Denne mangel på klarhed øger risikoen for, at virksomhederne ikke er ordentligt forberedte, når loven implementeres og kan udsætte danske virksomheder for alvorlige sanktioner.
De første estimater tydede på, at omkring 1.000 danske virksomheder ville blive omfattet af NIS2, men i lovforslaget er dette tal fordoblet til hele 2.000.
For disse virksomheder er det af Europa-Kommissionens konsekvensvurdering projekteret at it-afdelinger, der ikke tidligere har været underlagt NIS1, skal afsætte mellem 22-25 pct. af deres it-sikkerhedsomkostninger på at leve op til direktivets bestemmelser.
Baseret på en rapport fra Den Europæiske Unions Agentur for Cybersikkerhed, ENISA, har danske virksomheder (som median) omkostninger til it-sikkerhed på mere end seks millioner kroner per virksomhed, hvorfor det i lovforslaget anslås at koste dansk erhvervsliv mellem 2,6 og tre milliarder kroner.
Disse tal understreger de økonomiske omkostninger, men det er de personlige konsekvenser, der virkelig adskiller NIS2 fra tidligere direktiver som GDPR.
Strengere sanktioner og personligt ansvar
GDPR introducerede allerede hårde sanktioner for brud på datasikkerheden, men NIS2 går et skridt videre ved at gøre virksomhedsledere personligt ansvarlige for at sikre den kritiske infrastruktur.
I disse tilfælde vil der ifølge lovforslaget i udmåling af ”bøder til fysiske personer (…) lægges vægt på det generelle indkomstniveau og personens økonomiske stilling”.
Derudover fremgår det i lovforslaget, at bøder alt efter overtrædelsens grovhed vil være på et maksimum på mindst syv millioner euro eller 1,4 procent af virksomhedens globale årsomsætning i det foregående regnskabsår, alt efter hvad der er højest.
For små og mellemstore virksomheder kan en sådan bøde være altødelæggende, og ledelsen kan også risikere retsforfølgelse eller fratagelse af ledelsesansvar.
Derudover har ledelsen ansvaret for at informere berørte parter, leverandører, kunder og nationale myndigheder hurtigst muligt i tilfælde af et cyberangreb.
Derfor bør ledere ikke kun udlicitere opgaverne, men også deltage i kurser om cybersikkerhed, så de kan være en del af processen, når potentielle risici og foranstaltninger vurderes og implementeres.
Forberedelse og implementering af NIS2
NIS2 indeholder 10 minimumskrav, som skal implementeres inden marts 2025, både organisatoriske og tekniske tiltag.
Selvom lovgivningen er på vej, fremhæver de fire organisationers høringssvar behovet for konkrete vejledninger, som kan hjælpe virksomhederne med at navigere i de komplekse krav.
KL, DI, KOMBIT og IT-Branchen har alle udtrykt bekymring for, at virksomheder vil stå famlende uden tilstrækkelig vejledning, hvilket understreger vigtigheden af, at virksomhedsledere forbliver opdaterede på de nye regler.
For at lykkes med implementeringen af NIS2 er det nødvendigt, at både it-sikkerhedsmedarbejdere og virksomhedsledere samarbejder aktivt. Derfor bør ledere overveje følgende fire skridt inden implementeringen:
- Viden: Ledere skal have en grundlæggende viden om cybersikkerhed for at kunne kommunikere effektivt med deres it-sikkerhedsmedarbejdere og give dem velbegrundede og overbevisende instrukser.
- Personale: Det er vigtigt at etablere en smidig it-sikkerhedsafdeling, der forstår de øgede krav, som NIS2 stiller. Derfor er det en god idé at have en Data Protection Officer (DPO) ud over en Chief Information Security Officer (CISO), hvor opgaverne kan fordeles fornuftigt.
- Revidering: En grundig, kritisk gennemgang og analyse af hvert område i forhold til risikosituationen og NIS2 er nødvendig. Dette inkluderer regelmæssige revisioner og overvågninger af systemer.
- Hændelser: Sidst men ikke mindst skal der etableres klare procedurer til håndtering af et evt. cyberangreb, inklusiv hurtig rapportering til partnere, leverandører, kunder og relevante nationale myndigheder.
Langsigtet engagement
Implementeringen af NIS2 kræver et tæt samarbejde mellem ledelse og it-medarbejdere.
Det er en langsigtet proces, der kræver vedvarende engagement og oplysning.
Fra 2028 skal virksomheder hvert år dokumentere deres it-infrastruktur i overensstemmelse med NIS2 og sikre, at deres sikkerhedsforanstaltninger er opdateret i henhold til aktuelle teknologiske niveauer og standarder.
Med NIS2-direktivets krav og de kommende regler fra European Cyber Resilience Act, der skærper kravene til digitale produkter i EU, er det tydeligt, at ledelsen i en virksomhed ikke længere kan se bort fra deres ansvar.
De skal aktivt deltage i implementeringen af robuste sikkerhedsforanstaltninger og sikre kontinuerlig overvågning og opdatering af deres it-systemer.
Ved at tage proaktive skridt nu kan virksomheder ikke kun undgå betydelige bøder og sanktioner, men også beskytte deres data, omdømme og forretningsdrift mod potentielle cybertrusler.
Ved at gøre dette kan virksomheder stå stærkere i mødet med fremtidens udfordringer og skabe et sikkert, digitalt miljø for alle virksomhedens interessenter.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.