I februar kom endelig lovforslaget til at indføre de nye, skrappere EU NIS2 sikkerhedskrav i dansk lovgivning. Bl.a. Dansk Industri hilst har hilst lovforslaget velkomment, men udtrykt bekymring over den korte efterlevelsesfrist, mener it-sikkerhedsekspert, Helge Djernes.
I normale tider ville det næppe være et stort problem. Ting tager tid. Men vi lever ikke i normale tider. Danmark og Europa er blevet geopolitisk isolerede og niveauet for cyberangreb fra fjender, og måske også fra ’venner’, er højt.
Hvor cybertruslen mod danske virksomheder i mange år primært handlede om spionage og kriminalitet, vurderer CFCS i den seneste generelle trusselsrapport fra september 20, 2024, at også risikoen for destructive cyberangreb skal hæves fra lav til medium og er høj for cyberaktivisme. Vi er med andre blevet skubbet i et hul og skal have gravet os ud i en ruf.
Når vi sover i timen har vi som bekendt mindre tid til at færdiggøre arbejdet. Derfor må vi arbejde hårdere for at indhente det forsømte. Dette gælder naturligvis også for vores niveau af cybersikkerhed og også for små og mellemstore virksomheder.
Der kommer mere, verden bliver vildere og vi kan ikke blive ved med at sove i timen. Jo før vi kommer i gang og får ’scopet’ opgaverne, jo bedre kan vi komme bedst muligt i mål
Helge Djernes.
NIS2, eller Network and Information Security Directive 2, er EU’s nye direktiv, som skal styrke cybersikkerheden på tværs af medlemslandene. Direktivet kræver, at virksomheder og offentlige institutioner implementerer en række foranstaltninger for at beskytte deres netværk og informationssystemer mod cybertrusler. Dette inkluderer blandt andet at have en funktionel risikostyringsplan, rapporteringsprocedurer og tekniske foranstaltninger på plads.
Sikkerhedskravene kan virke – og være – overvældende. Men man skal have levet under en sten i de sidste par år og med skyklapper på, for ikke at have luret hvor den sikkerhedspolitiske situation bar hen. Kravene og anbefalingerne er blevet skrappere, bekymringerne større, truslerne mere mangfoldige og dygtigere. Så de kommer. For alle virksomheder, som ikke er klar, betyder de korte frister, at de skal handle hurtigt for at undgå at komme på kant med loven. De kan afsætte et begrænset tidsrum, et fast budget, skaffe et overblik over prioriteringsområder, gerne ved involvering af eksterne eksperter som beviseligt har gjort dette for deres type virksomhed før – og eksekvere. Det behøver ikke at blive perfekt første gang – det skal bare blive bedre med NIS2 for øje og det må erkendes at denne opgave er kommet for at blive og skal ejes af nogen.
For der kommer givet også en NIS3. Hvis NIS2 ikke efterleves, kan virksomhederne selvfølgelig blive mødt med bøder og sanktioner fra myndighederne. Værre er det at få stjålet data, virksomhedens aktiviteter stoppet, og blive brugt som bagdør til vennerne – partnere, kunder og leverandører. Vi skal passe på os selv, også for at passe på vores venner.
Så Dansk Industri har bestemt en pointe. Tiden er kort. Det var ikke noget, vi bad om, og tingene kunne være gået anderledes. Men det kom alligvel og det gjorde de ikke. Så vi må alle acceptere at NIS2 er kommet for at blive og handle nu. Der kommer mere, verden bliver vildere og vi kan ikke blive ved med at sove i timen. Jo før vi kommer i gang og får ’scopet’ opgaverne, jo bedre kan vi komme tids- og omkostningseffektivt i mål – eller videre, for det er jo en opgave, som er kommet for at blive.
God fornøjelse.
Helge Skov Djernes er informationssikkerhedsekspert i sikkerhedsfirmaet Djernes & Diernaes.
Få dit jobopslag på MarketConnect
Opret et jobopslag på MarketConnect og nå ud til den helt rette målgruppe af kvalificerede kandidater.