Frygt for nye EU-regler: Cybersikkerhed risikerer at blive det nye GDPR
Både virksomheder, kommunerne og til en vis grad også regeringen er tilbageholdende over for nye EU-regler om cybersikkerhed. De frygter mere administration, dobbeltarbejde og store bøder.
Rikke Albrechtsen
EU-redaktørBRUXELLES: Der er bekymrede miner fra både erhvervslivet, kommunerne og til dels også regeringen over et nyt EU-udspil om cybersikkerhed.
Den voksende risiko for, at kritisk infrastruktur som vandværker og hospitaler eller virksomheder eller hele sektorer lammes af cyberangreb, har fået EU-Kommissionen til at foreslå at udbrede regler på området til langt flere aktører og true med store bøder til dem, der ikke har sikkerheden i orden.
Her frygter både Dansk Industri og Kommunernes Landsforening (KL), at de nye regler ender i øget bureaukrati og frygt for bøder hos både virksomheder og administrationer.
Forslaget til det såkaldte NIS2-direktiv skal erstatte de gældende regler for cybersikkerhed, der blev vedtaget i 2016. Det sker ved at indlemme flere nye sektorer, virksomheder og myndigheder i forslaget.
Forslaget omfatter det, der kaldes væsentlige enheder inden for energi, transport, bankvæsen, sundhed, drikkevand og spildevand, digital infrastruktur, offentlig forvaltning og rummet, samt såkaldte ”vigtige enheder” inden for post- og kurertjenester, affaldshåndtering, fremstilling og distribution af kemikalier, fødevareproduktion, digitale udbydere med mere.
Der er risiko for bøder på op til 75 millioner kroner eller to procent af en virksomheds omsætning, hvis reglerne ikke overholdes.
Direktivet skal fungere gennem en risikostyringstilgang, hvor en række grundlæggende sikkerhedselementer skal være overholdt. Desuden bliver kravene strammet for, hvornår et cyberangreb skal indrapporteres.
Landene skal udtænke nationale cybersikkerhedsstrategier, udpege kompetente nationale myndigheder og pålægge indrapporteringskrav på essentielle sektorer. Desuden skal de udveksle informationer om såkaldte cybersikkerhedshændelser med EU-kredsen, så de kan advare hinanden om mulige nye trusler.
Læs mere her
"Vi sætter spørgsmålstegn ved, at det er den rigtige vej at gå, at man kommer med stokken i hånden og risiko for millioner af kroner i bøde," siger Morten Rosted Vang, der er Fagleder for digital ansvarlighed og cybersikkerhed i Dansk Industri.
"Vores bekymring er ikke, om det er rigtigt eller ej, at vi skal finde retningslinjer for, hvordan vi skal arbejde med cybertruslen. Det er vi ikke uenige i. Vi bekymrer os for, at man skal opbygge et stort bureaukrati omkring det,” lyder det fra kontorchef for digitalisering og teknologi hos KL, Pia Færch.
Udvidet trusselslandskab
Det såkaldte NIS2-direktiv er en opdatering af de regler, der allerede eksisterer for at holde netværks- og informationssystemer sikre, og som i dag dækker følsomme sektorer som energi, transport og digital infrastruktur.
Nu skal det dog udvides til at dække langt flere områder, virksomheder og myndigheder og stikke dybere med flere sikkerheds- og rapporteringsforpligtelser.
Det vil sige, at såkaldte ”væsentlige enheder” inden for energi, transport, bankvæsen, sundhed, drikkevand og spildevand, digital infrastruktur, offentlig forvaltning med mere, samt såkaldte ”vigtige enheder” inden for post- og kurertjenester, affaldshåndtering, fremstilling og distribution af kemikalier, fødevareproduktion, digitale udbydere et cetera vil blive underlagt forpligtelser.
EU
Miljø
