NIS2 implementering i Danmark
NIS2-direktivet, der blev vedtaget sidste år kan ende med at koster det danske samfund mere end 50 milliarder kroner. Det er en ny virkelighed, der med bøder vil ramme utroligt mange virksomheder i Danmark.
NIS2 er vedtaget sidste sommer, og medlemsstaterne har nu indtil 16. oktober 2024 til at implementere direktivet.
Lovgivningen kom som følge at sikkerhedsmæssige problemer og har til hensigt at undgå hackere, ransomware og ukrypterede data og så er der mulighed for sårbarhedsscannere der skal vise vor sårbare vi er. NIS 2 er et mareridt for mange virksomheder, hvor der blandet andet skal være en radikal ændring ansvarsfordeling, økonomi og kommunikation mellem myndigheder.
IT sikkerhed, Videoovervågning, Alarmer og fysisk perimeterkontrol vil være kravene for forsyningsvirksomheder
Med NIS2 direktivet udvides kravene markant i EU’s cybersikkerheds-fokus for alle de sektorer, der regnes for at samfundskritiske og det er som bekendt virksomheder der beskæftiger sig med forsyning af vand, varme, fødevarer, energi, server hosting, email og mange andre der på den ene eller anden måde er leverandør til det offentlige eller leverandører der er indenfor forsyninger.
ICARE SECURITY A/S har været i gang siden sidste år med virksomheder og efterhånden kommer kommuner, hospitaler, ministerier og større virksomheder indenfor energisektoren med. Indenfor kommuner og staten skal der nemlig helt nye lovgivninger og cirkulærer til for at løse problematikkerne fordi både statens institutioner og kommunerne jo i høj grad er forsynings virkomheder.
Sikkerhedsmæssigt står alle samlet dog overfor at skulle ændre i den fundmentale måde at beskytte sin infrastruktur på. Dette er både IT systemer men også fysisk f.eks. ved videoovervågning og alarmsikring af drikkevandsområder, sikringer af internetknudepunkter og server hosting centre, samt sikring med kryptering og penetrationstests og derudover en it strategi for hele områder der i høj grad bygger på Zero Trust.
Dette vil medfører omkostninger i milliardklassen at leve op til NIS2. Hvor NIS1 i 2016 var en mild version af NIS er NIS2 ikke til at tage fejl af og der kommer en komplet bødeforvaltning og tillige Forsvarsministeriets ledelse for implementering i virksomheder staten, regionerne og kommunerne.
Ingen krav til staten, regioner og kommuner der i NIS2 kaldes for offentlige forvaltningsenheder
Uheldigvis er der ingen vejledning til stat, region og kommune, til hvordan sikkerhedsforanstaltninger skal gennemføres, men man kan dog følge den generelle sikkerhed for IT som jo er klar på alle områder indenfor kryptering, zero trust, sårbarhedsscanning med penetrationstests og tillige den fysiske sikkerhed som er nem, men omkostningsfuld at gennemføre, fordi vi skal sikre os mod sabotage, manuelle krigshandlinger og beskyttelse af alle forsyninger i hele Danmark, fra varme til drikkevand og fødevarer til distributionsnettet.
Der er imidlertid ikke kommet noget fra Staten om, hvordan det offentlige Danmark, skal håndtere direktivet. Vi forudser at mange kommuner enten ikke har råd eller ressourcer til at gennemføre så strikse krav. Kravene giver selvfølge mening fordi sikkerhed skal være 100% sikkert, og det er her at processen vil omhandle anbefalinger om, hvad der er den bedste sikkerhedsstrategi.
Disse findes bare ikke endnu, og stille og roligt nærmer deadline sig. ICARE SECURITY A/S har dog en klar anbefaling om at benytte vore konsulenter og vi anbefaler de amerikanske sikkerhedsforanstaltninger indenfor overvågning, sikkerhed og sikring.
I dag er det Forsvarsministeriet der har meldt ud, at de vil fremme udrulningen af NIS2 til at omfatte alle offentlige og private firmaer. Det vil formentligt være Datatilsynet der skal være den tilsynsførende myndighed og i nogen grad skal Erhvervsstyrelsen være den informerende enhed til private virksomheder.
Som det er nu er der ingen strategi for implementeringen af NIS2, det var der heller ikke til NIS1. Og det er for dårligt, fordi uden en klare strategi og uden klare punkter der SKAL overholdes, er det svært, at tage stilling til hvad der skal gøres hvornår og hvordan.
Skrappe bøder og flere tusinde siders dokumentation koster virksomheder og Danmark 50 milliarder kroner
Selve gennemførelsen skønnes at koster danske virksomheder 20 milliarder at gennemfør og det offentlig 30 milliarder, det er så lige 50 milliarder kroner der skal findes til at købe licenser, konsulenter, services og vedligeholdelsesaftaler ved implementering, audit. Prisen for gennemførsel af NIS2 er min egen vurdering, og den er ikke dokumenteret med en kilde for der findes ingen kilder endnu.
Vi kender dog allerede hvad vi skal betale i bøder, ved manglende overholdelse er sanktionsniveauet reelle bøder på mellem 1,4 og to procent af omsætningen. Hensigten er at bøderne skal være med til at motivere organisationer til at leve op til NIS2. Bemærk ordet motivere, men jeg vil hellere kalde det tvang. Der er jo ingen belønninger, andet end at hele EU får et tiltrængt løft på IT og forsyningsområdet.
Syv anbefalinger
I forbindelse med flere implementeringsproblemer har en række organisationer sendt et åbent brev til forsvarsminister Jakob Ellemann-Jensen (V) og minister for digitalisering og ligestilling Marie Bjerre (V) med syv råd. Det skriver Computerworld i dag.
De 7 afsender er Rådet for Digital Sikkerhed, Ingeniørforeningen (IDA), Dansk Erhverv, Danva, Dansk IT, Dansk Fjernvarme, Dansk Industri (DI), IT-Branchen og Prosa.
De 7 råd er følgende:
- Fælles ramme for lovgivningen.
- Fælles tilsynskoncept.
- Sikre koordination og harmonisering på europæisk plan.
- Sikre samspil med andre reguleringstiltag inden for sikkerhedsområdet.
- En offentlig kortlægning af foranstaltninger og ISO-standarder.
- Der er behov for en praktisk vejledning af, hvorledes NIS2 krav efterleves og implementeres.
- Når der etableres CSIRTer skal det ske i samråd med berørte brancher og med mulighed for finansieringsbidrag.
Det er herefter op til Regeringen og især Forsvarsminister Jakob Ellemann-Jensen at komme med et regeringspolitisk sikkerhedsudspil ti vedtagelse i Folketinget. Dette skal både omfatte rammerne, forvaltningen, den IT mæssige standard der skal kunne dokumenteres, den fysiske stand i overvågning og perimetersikkerhed samt definering af tilsynsmyndigheden på området.
Når vi kender den praktiske vejledning kender vi formentlig også den samlede omkostning for hver enkelt virksomhed.
Hvad koster NIS2?
En virksomhed med 100 ansatte vil vi typisk fakturere 350.000 kroner før moms fordelt på:
- 50.000 der omfatter dokumentation og konsulentarbejde
- 250.000 til licenser til penetrationstest, kryptering, 2 faktor USB godkendelse, firewall og evt. SIEM implementering
- 50.000 til audit og overholdelse løbende
Der vil formentligt ske med en årlig audit på ca. 25.000 kr. i omkostning pr. år. Det er naturligvis meget billigere for en med 10 licenser, men licenserne er omfattet af brugerantal og vil være være meget dyrere for større virksomheder.
Læs mere om NIS2:
Kilde: Michael Rasmussen
Fotokredit: Advokat og Revisor Samvirket