Seneste den 18. oktober i år skal NIS2-direktivet skal være implementeret i Danmark. Til den tid skal danske virksomheder, der varetager såkaldte samfundskritiske opgaver, kunne dokumentere, at de lever op til en række omfattende cybersikkerhedskrav. Og der er langt flere virksomheder, der falder under NIS2, end de fleste tror. Også underleverandørerne til de direkte NIS2-berørte virksomheder, er nemlig med i puljen
Da NIS-direktivet (net- og informationssikkerhed) blev indført i Danmark i 2018, var det de færreste, der havde hørt om det, og kun cirka 150 virksomheder er omfattet af direktivet. Helt anderledes er det med det kommende NIS2. Det vil over 1.000 virksomheder stifte bekendtskab med.
Idéen bag NIS2 er at højne niveauet for net- og informationssikkerhed indenfor dele af den digitale infrastruktur og for visse digitale tjenester.
Det lyder stadig som værende for de få, men listen over de virksomheder, falder ind under NIS2, viser noget andet. Bl.a. er fjernvarme med.
Imidlertid er store dele af det danske samfund, og mange virksomheder endnu ikke klar til direktivets komme, og det har fået IT-branchen til at råbe op.
– Myndighederne har sovet i timen og undervurderet omfanget og kompleksiteten af NIS2. Over tusinde danske virksomheder skal snart leve op til en lang række omfattende sikkerhedskrav. Men de har ikke mange chancer for at nå i mål, når myndighederne igen udsætter afklaringen af, hvem der er omfattet, og hvordan reglerne skal implementeres i Danmark, siger Jacob Herbst, CTO i Dubex A/S og forperson for IT-Branchens Policy Board for Cybersikkerhed.
EU kræver som sagt, at NIS2-direktivet skal være implementeret i Danmark senest 18. oktober i år. Til den tid skal danske virksomheder, der varetager såkaldte samfundskritiske opgaver, kunne dokumentere, at de lever op til en række omfattende cybersikkerhedskrav, fastlagt i den nye version af EU’s Net- og Informationssikkerhedsdirektiv (NIS2).
Lovarbejdet trækker dog ud.
– Med forsinkelsen frygter vi, at der bliver endnu kortere mellem, at vi lærer de nye krav at kende, og til at virksomhederne skal leve op til dem. Det gør bestemt ikke NIS2-arbejdet i virksomheden lettere, og vi risikerer, at omkostningerne stiger kraftigt, da mange virksomheder nu skal hasteimplementere loven, påpeger Jacob Herbst.
EU-Kommissionen har estimeret, at virksomheder pga. NIS2 fremover skal investere 22 procent mere i it-sikkerhed, end de gør i dag. I Danmark mener analysehuset IDC, at de danske virksomheder i gennemsnit kan forvente en udgiftsstigning på 10 procent om året frem mod 2025 alene på it-sikkerhed. Det svarer til en samlet øget udgift på 2,5 mia. kr. Et tal der nu risikerer at blive større.
Mange virksomheder er stadig uvidende om, hvad de skal leve op til, og endnu færre af deres underleverandører ved, at nye krav også snart rammer dem.
Med lovforsinkelsen og de dertilhørende usikkerheder bliver det en kæmpe udfordring at nå i mål med de sikkerhedsforanstaltninger, som for mange virksomheder vil være helt nye.
Også selvom man ikke er direkte med i gruppen af de cirka 1.400 virksomheder, som i første omgang er omfattet af NIS2, kan man hurtig komme med. For NIS2 stiller skærpede krav til cybersikkerheden i hele virksomhedens forsynings- og leverandørkæde. Dermed kommer underleverandørerne i spil.
– En ting er det forsinkede lovarbejde, men vi savner en klar plan fra myndighedernes side. Hvornår har man f.eks. tænkt sig at kontakte de NIS2-omfattede virksomheder, så de ved, at de er omfattet? Og hvordan har man tænkt sig at vejlede de mange virksomheder, der står overfor en ny sikkerhedsopgave? Det er ikke noget, der kan løses med et snuptag. Det kræver omfattende ressourcer og tidskrævende viden- og kompetenceopbygning, påpeger Jacob Herbst.