Er du klar til NIS2 og krav om kryptering? – bøderne er lige steget til 10 millioner € hvis IT sikkerheden ikke er i orden.

Lovkravene i NIS2 vil i modsætning til NIS1 af 2016 bl. a. omfatte flere private virksomheder indenfor en række områder. Der er derfor stort fokus på de endelige detaljer som nu ligger klar.

NIS2 Loven kommer til at få betydning for en række sektorer, der ikke har været omfattet af forgængeren, NIS1. Nu skal alle private virksomheder indenfor fødevaresektoren, spildevandssektoren, affaldssektoren, rumsektoren og en række delsektorer i fremstillingsindustrien (som producerer fx lægemidler, medicinsk udstyr, kemikalier) til at overholde de nye krav.

Oprindeligt i NIS1 inkludererede man operatører af væsentlige tjenester, herunder energi, transport, finans, sundhed og drikkevand. Hertil kommer digitale tjenestudbydere og digital infrastruktur, herunder cloud computing-tjenester, online markedspladser samt søgemaskiner.

Direktivet lægger op til, at det er virksomheder med flere end 50 ansatte og en årlig omsætning på 10 mio. euro eller en årlig balance på 43 mio. euro, der skal efterleve kravene. 

Skærpede krav til topledelsen

Med de nye regler stilles der skærpede krav til topledelsen, som får ansvar for at godkende sikkerhedsforanstaltningerne og for at føre tilsyn med virksomhedens it-sikkerhed – så sikkerhedsniveauet matcher aktuelle risikovurderinger.

Nye minimumskrav

I forhold til NIS1 skal NIS2 sikre yderligere harmonisering på tværs af medlemsstater gennem mere detaljeret regulering og ved at indføre syv minimumskrav til:

Morten Løkkegård er medlem af Europa-Parlamentet for Venstre og medforhandler på den nye aftale. Dermed har man skruet op for ambitionsniveauet i hele EU. Dette sker fordi:

  1. det fortsættelse af NIS1 aftalen fra 2016
  2. der er en stigning i de mange russiske angreb
  3. mængden af malware og Ransomware
  4. mængden af overvågningssoftware i danske virksomheder og det offentlige.
  5. loven syntes også møntet på at udelukke kinessiske produkter selvom det ikke lige står der

Dette forlig er længe ventet, for det haster med at få sendt officielle it-sikkerhedsregler ud til de mange nye organisationer, som nu er omfattet af NIS2. I sammenligning med NIS1 og NIS2 er der markante store krav, det bliver spændende at se om kan opfyldes. Det koster mange penge. Dertil kommer at en lang række nye organisationer som NIS1 fra 2016, ikke krævede noget af, nu er inkluderet.

»Alle er klar over, at den er gal. Det står klart nu, fordi vi i de fem år fra 2016 til 2021 er blevet lagt ned den ene gang efter den anden både privat og offentligt, og nu er der altså en klar erkendelse af, at vi kæmper mod tiden, for det bliver kun værre,«

Siger Morten Løkkegård til Version2.

Oversigt over sikkerhedskrav og kategorier af Cybersikkerhed, Sikkerhedstiltag, Undgå Overvågning og dokumentationskrav:

NIS2 KravICARE A/S produkt:
Krav om om kryptografi altså krypteringVor software og hardware kan klare dette
Der skal udarbejdes risikoanalyser og sikkerhedspolitik for informationssystemer.Vor software kan klare dette
Dokumentation for Hændelseshåndtering – både præventivt, opdagelse og håndtering.Vor software kan klare dette
Krav om KrisehåndteringVor software kan klare dette
Dokumentation om Værdikædesikkerhed for leverandører af både hardware og services, bredt defineret med bl.a. herunder datalagring, processorservices og sikkerhedsservices.Vor software kan klare dette
Sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværk og informationssystemer, sårbarhedshåndtering og offentliggørelseVor penetrationstest og software kan klare dette
Policy og procedure for at vurdere effektiviteten af sikkerhedstiltagVor software kan klare dette
HR – sikkerhed og regler for adgangskontrolVor software kan klare dette

»Det er et politisk kompromis. Nogen mener det ene, og nogen mener det andet, og så bliver man enige. Hvor sådan en grænse ligger, det er fuldstændigt arbitrært. Vi ender på Parlamentets position i dét spørgsmål.«

Store krav kræver store investeringer og beløbet for bøder skal kunne konkurrere med Ransomware løsesummer

Morten Løkkegård hører ofte virksomheder spørge, hvorfor bøderne skal være så store, men de er inspireret af blandt andet GDPR, hvor et vigtigt element af sanktionen er, at de skal virke afskrækkende.

»Enhver form for lovgivning skal indebære en eller anden form for sanktion, hvis ikke man overholder den. Så det er mærkværdigt, at man overhovedet stiller spørgsmålet, for det burde være normalt for længst, at det, ikke at leve op til loven, er forbundet med en straf,« understreger politikeren.

Skal være billigere at overholde loven

Et vigtigt element af NIS2-bøden har hele tiden været, at det ikke skal kunne betale sig økonomisk at overholde loven, ifølge Morten Løkkegaard til Version 2. De 10 millioner er et slags gennemsnit for, hvad virksomheder ofte betaler for at slippe ud af eksempelvis et ransomwareangreb.

Fotokredit: FT.DK, Tidligere Folketingsmedlem Morten Løkkegård

Ransomware løsesummer kan være billigere en NIS2 bøder

»Ganske ofte har det været sådan, at virksomhederne spekulerer i at lade være med at lave investeringen i sikkerhed. Hvis de så er uheldige at blive ramt, så betaler de løsesummen, de fortæller det ikke til nogen, og så er der ikke nogen, der opdager det. Så kan de leve videre, og så er det bare en omkostning, man må tage i dummebøde.«

Men den fremgangsmåde bliver sværere, når der fremover bliver ført tilsyn med, om virksomhedernes it-sikkerhed lever op til NIS2.

»Det kan ikke nytte noget, hvis man skal forholde sig til en lovgivning. Så skal det på en eller anden måde være sådan, at man også ved, at det er forbundet med en vis risiko ikke at følge loven. Derfor er vi nået frem til dét bødeniveau.«

Nu skal direktivet officielt vedtages – som ifølge Europa-Parlamentet sandsynligvis kommer til at ske i starten af juni – og så har Folketinget omkring 21 måneder til at komme i mål med den nationale lovgivning på området.

Hvem er Morten Løkkegård?

I Europa-Parlamentet sidder Morten Løkkegaard i Renew Europe Gruppen, hvor han er blandt næstformændene. Han er medlem af Udvalget om det Indre Marked og Forbrugerbeskyttelse (IMCO) og næstformand i det Særlige Udvalg om Udenlandsk Indblanding, herunder Spredning af Desinformation, i alle Demokratiske Processer i Den Europæiske Union (INGE). Han er desuden stedfortræder i Udvalget om International Handel (INTA) samt i Kultur- og Uddannelsesvalget (CULT).

Morten Løkkegaard er desuden medlem af Delegationen for Forbindelserne med Australien og New Zealand (DANZ) og stedfortræder i Delegationen for Forbindelserne med MERCOSUR (DMER) samt i Delegationen til Den Euro-Latinamerikanske Parlamentariske Forsamling (DLAT).



Kilde: Version2.DK og ICARE.DK
Fotokredit: www.europarl.europa.eu og ft.dk