Paradigmeskifte indenfor cybersikkerhed – Nyt EU-direktiv stiller større krav til at virksomhederne tager ansvar
Den nye cybersikkerhedslov, kaldet NIS-2, rykker dagsordenen om robuste IT-systemer helt op på ledelsesgangene i samtlige store danske virksomheder.
Vi kommer til at se mere sabotage. Flere hackerangreb. Endnu flere droner. Søkabler der ødelægges.
Sådan lød meldingen fra Mette Frederiksen, da hun talte om september måneds hybridangreb mod Danmark, hvor særligt droneaktiviteten over de danske lufthavne har været højaktuel.
Adskillige droner har krænket flere europæiske luftrum og det efterlader særligt et spørgsmål hos europæerne. Hvor stærkt er vores sikkerhedsberedskab?
NIS 2: EU’s nye krav til digitalt beredskab
Den europæiske union har igennem det seneste årti øget deres fokus på cybersikkerhed. I 2016 vedtog EU et direktiv, der skulle beskytte net- og informationssystemer hos specifikke sektorer. Navnet var NIS 1 og det inkluderede operatører af kritisk infrastruktur såsom energi, transport, finans, sundhed og drikkevand. I 2022 kom EU med efterfølgeren i form af NIS 2-direktivet, der havde flere markante ændringer af cyber- og sikkerhedsberedskabet. Det danske Folketing vedtog i foråret loven om foranstaltninger til sikring af et højt cybersikkerhedsniveau eller blot NIS 2-loven, som den omtales blandt fagfolk. Med overgangen fra 1 til 2 er der sket en udvidelse i antallet af sektorer, som hører under loven.
En af dem som ved allermest om NIS 2 er Sten Skov Lehnert. Han er Senior Security Advisor hos Institut for Cyber Risk og har en master i det nye EU-direktiv der har været på tegnebrættet siden 2022. Sten Skov Lehnert underviser også på Københavns universitet indenfor cybersikkerhed, og guider samtidig virksomheder til at forstå hvordan de skal forstå og implementere NIS 2 lovgivningen.
Et nybrud i dansk IT-sikkerhed
Sten Skov Lehnert mener, at NIS 2-loven er et paradigmeskifte for IT-sikkerhed i Danmark. Det skyldes, at myndighederne før havde det overordnet ansvar under NIS 1. Myndighederne skulle udvælge hvilke virksomheder, der var særlig sårbare overfor sikkerhedstrusler og dermed en del af NIS 1.
Sten Skov Lehnert fortæller, at NIS 1 var baseret på, at virksomhederne frivilligt prioriterede deres IT-sikkerhed. EU har med tiden måtte sande, at det er de færreste virksomheder, som har prioriterede at investere nok i IT-sikkerhed.
“IT-investeringer er dyre, og det er ikke altid tydeligt, hvad de giver af afkast,” siger Lehnert.
Mange virksomheder har prioriteret markedsføring og vækst frem for investeringer i cybersikkerhed.
Cybersikkerhed rykker op i direktionslokalet
Paragraf syv i NIS 2-loven skubber ansvaret opad. Her står der nemlig, at det er ledelsestoppen i virksomhederne, der har det juridiske ansvar i forhold til IT-sikkerhed. Bestyrelsen og direktionen kan dermed stilles til ansvar, hvis en virksomhed bliver udsat for et hackerangreb, og de hører under NIS 2-reguleringen.
Ifølge Sten ændrer det tankegangen hos danske virksomheder. IT-sikkerhed er ikke længere en overset afdeling med specialister gemt væk i kælderen – den er rykket op i direktionslokalet.
Før har virksomhederne kunne påberåbe sig uvidenhed ved cyberangreb. Det kan de ikke længere. Ledelsen har ansvaret for, at virksomhederne har stærke IT-foranstaltninger, og at de arbejder aktivt og tilstrækkeligt med cybersikkerhed. Derudover stilles der krav om, at topledelsen gennemgår træning i cybersikkerhed.
“Det der står i NIS 2-loven, er egentlig bare sund fornuft, der kommer til at sprede sig som ringe i vandet,” afslutter Sten Skov Lehnert.
