Lovkravene i NIS2 vil i modsætning til NIS1 af 2016 bl. a. omfatte flere private virksomheder indenfor en række områder. Der er derfor stort fokus på de endelige detaljer som nu ligger klar. NIS2 Loven kommer til at få betydning for en række sektorer, der ikke har været omfattet af forgængeren, NIS1.
Nu skal alle private virksomheder indenfor fødevaresektoren, spildevandssektoren, affaldssektoren, rumsektoren og en række delsektorer i fremstillingsindustrien (som producerer fx lægemidler, medicinsk udstyr, kemikalier) til at overholde de nye krav. Oprindeligt i NIS1 inkludererede man operatører af væsentlige tjenester, herunder energi, transport, finans, sundhed og drikkevand.
Hertil kommer digitale tjenestudbydere og digital infrastruktur, herunder cloud computing-tjenester, online markedspladser samt søgemaskiner. Direktivet lægger op til, at det er virksomheder med flere end 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro, der skal efterleve kravene. Kilde: Advokat og Revisor Samvirket
CIO Kenneth Lindegaard fra Copenhagens Airports føler sig godt klædt på til NIS2, ikke mindst på grund af den nødvendige opbakning fra topledelsen.
»NIS er et godt sanity-tjek til de procedurer, politikker og discipliner, som de fleste virksomheder jo allerede har. Hos os krævede NIS bare, at vi fik dem helt skarpt beskrevet og opdateret. Men virksomheder, der ikke allerede opererer i en reguleret branche, kommer til at få en større pukkel,«
siger Kenneth Lindegaard, der er CIO hos Copenhagen Airports, til v2.dk
Copenhagens Airports implementerede det oprindelige NIS-direktiv i 2018 og ser nu ind at skulle implementere udvidelserne til direktivet, der går under navnet NIS2. Det skræmmer ham dog ikke, fordi Copenhagen Airports har haft en fordel på grund af den branche, virksomheden arbejder i.
»I luftfarten er vi jo allerede meget reguleret fra diverse styrelser og myndigheder, både europæisk og nationalt, så vi har været vant til at have en ret solid base på sikkerhedsområdet. På den vis har NIS været nemt for os – det har bare været en anden variant af noget, vi kendte i forvejen, kan man sige. Men vi har selvfølgelig lagt en masse arbejde i at gennemgå det hele,« fortæller CIO’en, der er varm fortaler for, at man bruger ressourcer på et træningsforløb til alle relevante medarbejdere i organisationen.
»Vi har lavet en masse træning af medarbejderne i it-afdelingen, men også af vores kollegaer rundt omkring i hele lufthavnen, som interagerer med de her processer, eller skal efterleve nogle af de politikker, som vi skulle skærpe, for eksempel i forbindelse med anskaffelse af it-udstyr,« fortæller Kenneth Lindegaard og fortsætter:
»Vi har også trænet partnere, som leverer ind i vores øko-system. Specielt, hvis man har nogle outsourcing-aftaler, er man nødt til at genbesøge, hvordan det hænger sammen med det nye direktiv,« mener CIO’en.
Vigtigt at have topledelsen med
Et andet vigtigt punkt, når man står overfor at skulle forholde sig til NIS for første gang, er, at man har opbakning fra virksomhedens øverste lag. For opgaven med at leve op til de omfattende nye it-sikkerhedskrav kan ikke løftes af it-afdelingen alene og kræver de rette ressourcer, mener Kenneth Lindegaard.
»Jeg har drøftet NIS2 med vores topledelse, og jeg føler, de absolut er helt med på betydningen for os. Det vidner deres support til den operating-model, vi har implementeret, i hvert fald om. Der vil være nogle virksomheder, som har et større arbejde foran sig, hvis ikke topledelsen har den forståelse,« siger CIO’en.
»Vi havde allerede lavet en operating-model, som lægger op til den måde at arbejde på, grundet de antal andre lovgivninger og compliance-krav, vi er underlagt i vores industri, og i den model er de ekstra ressourcer til NIS2 lagt ind. Så vi mener, vi er klar til at implementere NIS2-kravene.«
Kilde: Version2.dk, ICARE SECURITY A/S, Advokat og Revisor Samvirket.
Fotokredit: ICARE.DK
