Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Jeg sad tilbage i 2023 og kedede mig en weekend.
Min hustru var optaget, og jeg satte mig – som man jo gør en lørdag aften – og begyndte at læse udkastet til det kommende NIS2-direktiv.
Både de oprindelige artikler – samt de tilhørende dokumenter, som underbygger behovet for, hvad jeg anser som et af de vigtigste it-sikkerhedsmæssige EU-beslutninger længe om, hvordan virksomheder, der er underlagt NIS2, skal opføre sig.
Jeg har læst dem, så du ikke behøver.
Lovforslaget om den danske implementering af NIS2-direktivet er på i alt 325 sider og indeholder naturligvis de 46 artikler fra EU-direktivet.
Af de 46 artikler, handler mange om nye tiltag, der skal implementeres i EU, så det kræver ikke handling fra danske virksomheder.
Der er også mange artikler, der stiller krav til nationalstaterne. Altså har den danske stat mange nye opgaver at løfte – men det har heller ikke noget med virksomhederne at gøre.
Og til sidst er der så en relativt lille del, som dikterer, hvad du skal gøre som ”NIS2-ramt” virksomhed.
Hvis du ikke ved, hvor du skal starte, er Artikel 21. stk. 2. det helt rigtige sted.
Og læser du den, ja så vil du opdage, at du allerede godt vidste det hele. Der står kun alt det, vi ved, vi burde gøre, men som vi nu skal gøre. For det siger loven (lige om lidt).
NIS2 er ikke NEM1
Lad mig med det samme sige, at jeg på ingen måde siger, at NIS2 er ”nem”.
At opbygge en sikker infrastruktur og ordentligt it-beskyttelse er ikke nogen dans på roser, men de fleste CIO'er og it-sikkerhedsmedarbejdere, som arbejder med at opbygge en virksomheds cyberforsvar, ved godt, hvad der skal til for at opnå det rette niveau af beskyttelse.
Du ved præcis, hvad du skal gøre, og du ved med 95 procents sikkerhed også, hvorfor du ikke er kommet i mål med det, hvad end det er på grund af manglende ressourcer, budget eller interne kompetencer.
Alt, hvad du skal gøre ifølge NIS2, burde du allerede gøre for at have et tilstrækkeligt it-sikkerhedsniveau – nu er det bare en lov med konsekvenser.
Og det er næsten med garanti ikke med din gode vilje, at du ikke er i mål endnu.
(ja, rapporteringskrav og ledelses/bestyrelses ansvar er nyt, men alt det andet viste du godt, at du allerede burde have styr på)
Herunder finder du minimumskravene fra Artikel 21. stk. 2. Læs dem, og tænk over, hvor meget af det, der er en reel nyhed, og hvor meget af det, du ikke allerede gør eller ønsker at gøre:
• Politikker for risikoanalyse og informationssystemsikkerhed
• Håndtering af hændelser
• Driftskontinuitet, såsom backup-styring og reetablering efter en katastrofe, og krisestyring
• Forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
• Sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
• Politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
• Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
• Politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
• Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
• Brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant.
Jeg vil vove at påstå, at intet af ovenstående kommer som en overraskelse for dem, som arbejder med it-sikkerhed. Og meget er sikkert på plads hos mange – dokumentationen mangler sikkert hos nogle.
Artikel 21, stk. 2 er en spiseseddel, som kan afleveres direkte hos dem, som har magten til at tage de vigtige beslutninger om at prioritere at få manglende gjort færdig.
Det er noget, som skulle være sket for længe siden, og som i sidste ende kan koste ledelsen eller bestyrelsen deres position, hvis det går galt.
Kan koste bestyrelsesposter
For konsekvenserne ved ikke at være NIS2-compliant kan være omstændige: Ikke for dig som CIO eller it-ansvarlig (for du har højst sandsynligt gjort dit forarbejde og advaret mod farerne), men derimod for C-levels og bestyrelser, som kan miste deres ret til bestyrelsesarbejde.
Jeg håber ikke, at der er direktions- eller bestyrelsesmedlemmer – eller nogen anden for den sags skyld – som mister jobbet på grund af et brud på NIS2.
Det har dog til alle tider været svært at råbe toppen i virksomhederne op, når det kommer til at investere i it-sikkerhed, men med NIS2 bør det blive lettere.
Mange virksomheder vil allerede have styr på NIS2 – de skal bare have det dokumenteret.
Andre har brug for at få styr på overvågning, politikker og procedurer med mere. Nogle har ressourcerne til at håndtere det internt, mens andre har brug for ekstern sparring.
En ting er dog sikkert: Der vil kun yderst sjældent være brug for indkøb af ny hardware for at blive compliant.
NIS2 handler i bund og grund om at få styr på, hvad vi har af kritiske data og systemer og sikre, at vi passer ordentlig på dem.
Vi skal næste ikke lære noget nyt, vi skal bare få det gjort. For lige om lidt siger dansk lov at vi skal.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.