Digitalisering og vores stadigt stigende forbrug af digital teknologi og nettjenester, har drevet store dele af den økonomiske vækst i Europa igennem de seneste mange år, men de nye teknologier åbner også en hel række af nye risici for virksomhederne, de offentlige institutioner og for os som enkeltpersoner.
Derfor har EU i 2022 vedtaget et direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau på tværs af hele Unionen også kendt som NIS2.
Direktivet træder i kraft til oktober 2024, men en af udfordringerne er, at vi end ikke har et lovudkast til en dansk hovedlov fra Forsvarsministeriets hånd.
Læs også: Trods øget trusselsniveau er EU-krav om cybersikkerhed endnu ikke implementeret
Betyder det så, at de virksomheder der er omfattet af direktivet bare, kan sidde stille?
”Nej det gør det ikke,” lyder det fra Rikke Slavensky, der er ekspert på området og partner hos NP advokater.
Hun peger på, at man reelt ikke kan undskylde sig med, at Forsvarsministeriet endnu ikke er barslet med en hovedlov.
“Selvom den danske lovgivning ikke er på plads før start 2025, så har vi fortsat et EU direktiv, der er direkte gældende i dansk ret pr 17. oktober 2024,” siger Rikke Slavensky.
Det er et ledelsesansvar
Hun ser med bekymring på, at lovarbejdet er så langt bagud. ”For det med efterfølgende, at få gennemført en sektorlovgivning, det er altså ikke noget der tager 14 dage” siger Rikke Slavensky.
Klima-, Energi- og Forsyningsministeriet har ganske vist netop sendt deres sektorlovgivning i høring. Alligevel mener Rikke Slavensky, at virksomheder og institutioner ikke er for tidligt på den, hvis de lige nu går i gang med at forberede sig på NIS2.
“Der gælder et bestyrelses- og ledelsesansvar, for de virksomheder som er omfattet og her handler det om, at få udarbejdet en risikoanalyse og vurderet de arbejdsgange, man i forvejen har ift cyberangreb på tekniske systemer. Holder de stadig vand ift de nye krav i NIS2” siger Rikke Slavensky.
Væsentlige enheder er omfattet
Læser man EU`s direktiv om NIS2, så er det ikke alle virksomheder der er omfattet.
NIS2-direktivet finder som udgangspunkt anvendelse på offentlige og private enheder, der kategoriseres som “væsentlige enheder” eller “vigtige enheder” i forhold til samfundet. Disse to typer enheder er fastlagt i et bilag til direktivet.
Begrebet “væsentlige enheder” omfatter i runde termer offentlige og private enheder inden for, Energi, Transport, Bankvirksomhed, Sundhedssektoren, Drikke- og spildevand, Offentlig forvaltning, samt Digital infrastruktur.
Mindre virksomheder kan være omfattet
Der er i direktivet opgjort en nedre grænse, for hvem direktivet omfatter. Her er der tale om virksomheder inden for ”de væsentlige sektorer” på under 50 medarbejdere og under 75 millioner kroner i årsomsætning, der ikke er omfattet.
”Men en virksomhed kan sagtens blive omfattet alligevel, hvis den fx har leverancer til offentlige eller private virksomheder, der er omfattet af direktivet,” siger Rikke Slavensky.
Hun anbefaler derfor, at virksomhederne snarest får sat sig ned og afdækket deres position.
”Det vi anbefaler, er at man sammen med sin rådgiver bruger sommeren og efteråret til, at tage de første skridt, få dannet et overblik og konkretiseret en beredskabsplan, så man er klar til den første januar 2025,” siger Rikke Slavensky.