Rådgiver i cybersikkerhed: EU’s NIS-direktiv skal ikke overrumple os, ligesom GDPR gjorde
En opdatering af EU’s NIS-direktiv er på vej og indebærer, at flere sektorer skal forbedre it-sikkerheden. Direktivet indbefatter omfattende bødesanktioner, hvis ikke man retter til efter reglerne. Vi skal ikke undervurdere arbejdsbyrden, og derfor er det på tide at at begynde arbejdet, skriver Philip Sandahl Johansen.
Philip Sandahl Johansen
Cyberkonsulent, Ernst & YoungI 2018 trådte EU’s NIS-direktiv (netværk- og informationssystemer) i kraft. Udvalgte udbydere i udvalgte sektorer med national kritisk infrastruktur må sikre, at organisationen har styr på de understøttende it-systemer for den kritiske infrastruktur.
NIS2 er en udvidelse, som skærper reglerne ved at stille øgede krav til sikkerhed i informationssystemer hos for eksempel visse forsyningsvirksomheder.
Fra NIS til NIS2
”Vores virksomheder, myndigheder og borgere er dagligt udsat for cyberangreb fra kriminelle, stater og organisationer. Spionage, infiltrering af vores digitale netværk og mulige fjendtlige angreb er daglige trusler.”
Sådan lød vurderingen fra de partier, der den 24. juni nåede til enighed om udmøntning af cyberreserven.
For 500 millioner kroner skal der blandt andet oprettes et cyber-indsatshold, som skal rykke ud, når samfundsvigtige virksomheder og myndigheder angribes, samt et cyber-hjemmeværn bestående af borgere med ”særlige evner” inden for it.
Siden aftalen blev indgået den 24. juni, er indholdet blevet kritiseret fra flere fronter. Christian Wernberg-Tougaard, direktør og chef for KPMG’s cyberpraksis i Danmark, frygter således, at vi kommer til at se ’opgavetyveri’ på cybersikkerhedsområdet.
Altinget spørger: Hvordan skal vi håndtere cybertruslen?
Her er panelet
- Rikke Zeberg, branchedirektør, DI Digital
- Annette Lind, cybersikkerhedsordfører, Socialdemokratiet
- Philip Sandahl Johansen, cyberkonsulent, Ernst & Young
- Niels Bertelsen, formand, Prosa
- Thomas Kristmar, medlem af fagrådet for informationssikkerhed, Dansk IT
- Johan Busse, formand, Dataetisk Råd
- Janus Sandsgaard, digitaliseringspolitisk chef, Dansk Erhverv
- Tobias Liebetrau, cybersikkerhedsforsker, DIIS
- Cecilia Bonefeld-Dahl, generaldirektør, Digitaleurope
- Jørn Guldberg, it-sikkerhedsekspert, IDA
Med opdateringen af NIS-direktivet, NIS2, er ambitionerne skruet i vejret. Og hvem skulle være imod at højne niveauet for cybersikkerhed på tværs af kritisk infrastruktur i EU’s medlemslande og implementere ensartede krav for udvalgte samfundskritiske sektorer?
NIS2 inkluderer blandt andet en større inklusion af flere relevante sektorer. En opdeling af omfattede udbydere mellem essentielle/væsentlige eller vigtige skærpede krav til sikkerheden og krav om aktivt myndighedstilsyn og bødesanktioner. Med udsigt til bøder svarende til op mod to procent af en virksomheds globale omsætning eller ti millioner euro ved overtrædelse af direktivets krav, så bør der ikke mangle motivation for at prioritere NIS2.
Det er naturligvis ikke gratis for de omfattede organisationer, og EU-Kommissionen forventer, at omfattede udbydere må forvente en stigning på 22 procent af sikkerhedsbudgettet til omkostninger til informationssikkerhedsaktiviteter for de nye sektorer inkluderet i NIS2. Såfremt EU-Kommissionen har ret, så bør det kommende sikkerhedsarbejde være en prioritet hos de berørte ledelser og bestyrelser.
Øgede krav og omfang
For de nuværende omfattede sektorer såsom transport, vand og energi er NIS-direktivet ikke en nyhed, og her bør sikkerhedsarbejdet være godt undervejs og forankret. For andre sektorer, som nu også skal leve op til NIS2, vil der være behov for en systematisk håndtering af cybersikkerhedsarbejdet.
Blandt kravene ses risikostyring og sikkerhedstiltag, hændelseshåndtering, bestyrelsesansvar, business continuity-planer herunder beredskab, leverandørstyring. Med andre ord: Der er mange områder at tage fat på. Hvilke krav, en enkelt udbyder skal leve op til, vil kræve en nærmere analyse, da kravene er afhængige af henholdsvis sektor og udbyderens størrelse.
Start tidligt og kom foran
De fleste kan nok enten huske at have set eller gennemlevet stormløbet i foråret 2018, forud for at GDPR-direktivet trådte i kraft. Mange gik for sent i gang, og endnu flere undervurderede arbejdsbyrden. Lad os lære af den erfaring.
Det vil kræve arbejde at komme i mål, og det forudsætter, at der er ledelser og bestyrelser, som vil afsætte de nødvendige midler.
Philip Sandahl Johansen
Cybersikkerhedsrådgiver, Ernst & Young
Med en tidslinje på estimeret to år, før NIS2 træder i kraft, er der rig mulighed for, at de påvirkede organisationer kan forberede sig.
Undersøg, om I bliver en udbyder under essentiel/væsentlig eller vigtig området, hvilke sikkerhedstiltag I bør implementere, og hav for øje, hvordan arbejdet kan skabe organisatorisk værdi. Der er ingen grund til at se dette som kedeligt compliance-arbejde – se derimod NIS2 som en løftestang til at få allokeret budget og få styrket cybersikkerheden.
Det vil kræve arbejde at komme i mål, og det forudsætter, at der er ledelser og bestyrelser, som vil afsætte de nødvendige midler. Enten i form af interne ressourcer eller eksterne konsulenter. Ligeledes skal man ikke glemme, at vedligeholdelse af de implementerede tiltag er lige så vigtigt som selve implementeringen.
Nedenfor er oplistet de sektorer og delsektorer, der bliver omfattet af den øgede dækning af NIS2 i henhold til fastsatte grænseværdier efter medarbejderantal og omsætning.
Essentielle/væsentlige udbydere indenfor:
- Energi (elektricitet, fjernvarme og fjernkøling, olie, gas og hydrogen)
- Transport (luft-, jernbane-, vand- og vejtransport)
- Bankvæsen og finansielle markedsinfrastrukturer
- Sundhed, fremstilling af farmaceutiske produkter (herunder vacciner) og af kritisk vigtigt medicinsk udstyr
- Drikkevand og spildevand
- Digital infrastruktur (internetudvekslingspunkter, DNS-udbydere, TLD-navneregistre, udbydere af cloud computing-tjenester, udbydere af datacentertjenester, net til indholdsdistribution, tillidstjenesteudbydere, og offentlige elektroniske kommunikationsnet samt elektroniske kommunikationstjenester)
- Offentlig forvaltning og rumteknologi.
Vigtige udbydere indenfor:
- Post- og kurertjenesteydelser
- Affaldshåndtering, kemikalier, fødevarer og fremstilling af andet medicinsk udstyr
- Computere og elektronik
- Maskinudstyr og motorkøretøjer
- Digitale udbydere (onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester).
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
