EU strammer cybersikkerheden – langt flere danske virksomheder skal investere i IT-sikkerhed

Truslerne mod IT-sikkerheden i virksomheder og samfundet har vist sig at være større og mere udbredt, end vi forventede for blot få år siden. EU-Kommission har derfor i december 2020 stillet et forslag om at højne et fælles IT-sikkerhedsniveau i hele unionen i det såkaldte NIS2-direktivforslag, der skal afløse det gældende NIS-direktiv (Directive on Security of Network and Information Systems).

Af Poul Noer, chefkonsulent Dansk Erhverv.

Hvad betyder det nye direktiv
Vedtages NIS2 i sin nuværende form, vil langt flere danske virksomheder blive omfattet af kravene. Flere sektorer bliver forpligtet til at indgå i samarbejder med myndighederne om indberetning af sikkerhedstrusler og -hændelser, end det er tilfældet i det eksisterende NIS-direktiv.

EU-Kommissionen vurderer, at omkostningerne til håndtering af IT-sikkerheden vil stige med ca. 20 pct. i de virksomheder, der som noget nyt vil være omfattet. På den anden side kan der spares store summer, hvis virksomhederne kan undgå lammende IT-sikkerhedsangreb. For nylig har vi fx set, hvordan et hackerangreb kunne lamme olieforsyningerne på den amerikanske østkyst, men danske virksomheder er langt fra gået fri og har tabt milliardbeløb på angreb på logistisk, transport og produktion.

Dokumentation og indrapportering
Med NIS2 kommer en lang række virksomheder til at arbejde mere systematisk med håndtering og indrapportering af IT-sikkerhedshændelser. Kravene vil afhænge af, hvilken sektor virksomheden tilhører, og hvilken størrelse den har. Direktivet kan komme til at gælde fra foråret 2023 – 18 måneder efter det er endeligt vedtaget.

Vi afholder et webinar for dem, der allerede nu vil være på forkant med udviklingen
På webinaret har du mulighed for at blive klogere på, hvilke krav kommissionen sigter mod. Vi er så privilegerede, at Europa-Parlamentets chefforhandler, Morten Løkkegaard, har sagt ja til at deltage og fortælle om baggrunden for forslaget og de kommende forhandlinger. Desuden fortæller Kasper Carøe fra Implement Consulting Group om implikationerne for danske virksomheder, mens Savvina Papadaki fra Eurocommerce vil dele de betragtninger om forslag, der gøres i de store europæiske handelsvirksomheder.

I første omgang er det en god ide at orientere sig i listen over, hvilke sektorer og delsektorer, der bliver omfattet af NIS2. Det gælder følgende:

• Afgørende vigtige enheder: Energi (elektricitet, fjernvarme og fjernkøling, olie, gas og hydrogen), transport (luft-, jernbane-, vand- og vejtransport), bankvæsen, finansielle markedsinfrastrukturer, sundhed, fremstilling af farmaceutiske produkter, herunder vacciner, og af kritisk vigtigt medicinsk udstyr, drikkevand, spildevand, digital infrastruktur (internetudvekslingspunkter, DNS-udbydere, TLD-navneregistre, udbydere af cloudcomputingtjenester, udbydere af datacentertjenester, net til indholdsdistribution, tillidstjenesteudbydere, og offentlige elektroniske kommunikationsnet samt elektroniske kommunikationstjenester), offentlig forvaltning og rumteknologi
• Vigtige enheder: Post- og kurertjenesteydelser, affaldshåndtering, kemikalier, fødevarer, fremstilling af andet medicinsk udstyr, computere og elektronik, maskinudstyr, motorkøretøjer og digitale udbydere (onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester).

Målgruppe:
Arrangementet er for alle, der arbejder med IT-sikkerhed.

Tilmelding kan ske via dette link: NIS2: EU strammer cybersikkerheden (danskerhverv.dk)