En lang række danske virksomheder og offentlige institutioner kan se frem til et intenst forløb, hvor man vil skulle implementere ny EU-lovgivning på et minimum af tid.
Forsvarsministeriet har nemlig efter to år, endnu ikke rullet et EU-direktiv ud i form af en dansk lovgivning, der træder i kraft 18 oktober 2024 og skal medvirke til at øge cybersikkerhedsniveauet hos særligt væsentlige virksomheder og institutioner.
Det til trods for, at Center for Cybersikkerhed (CFCS) har hævet trusselsniveauet for destruktive cyberangreb flere gange siden man i EU vedtog det såkaldte NIS2-direktiv. Senest har man i begyndelsen af juni hævet trusselsniveauet for cyberangreb til middel.
Læs også: Er du klar, når EU-direktiv om cybersikkerhed rammer Danmark om fire måneder?
Det hævede trusselsniveau gælder Danmark bredt, fremgår det af en pressemeddelelse.
“Vi går ud og hæver trusselsniveauet for destruktive cyberangreb, fordi vi vurderer, at forudsætningerne er til stede for, at danske myndigheder og virksomheder kan blive ramt. Selv i mindre skala kan destruktive cyberangreb få betydelige konsekvenser,” siger chef for Center for Cybersikkerhed, Thomas Flarup.
Han understreger, at myndigheder og virksomheder skal tage udmeldingen som et vink om, at det er nu, der skal styr på cyberberedskabet.
Lovarbejdet halter bagud
Forsinkelsen af en hovedlov der skal rulle NIS 2 ud og det øgede trusselses niveau giver bekymring blandt danske virksomheder, der nu står overfor en stram tidsramme til at forberede sig på de nye krav, kan man læse på hjemmesiderne for både Dansk Erhverv og Dansk Industri.
Flere spørgsmål presser sig på, for selv om nogle virksomheder besidder avancerede kompetencer inden for cybersikkerhed, mangler andre grundlæggende ressourcer til effektivt at beskytte sig mod cybersikkerhedtrusler.
I perspektiv af det øgede trusselsniveau er det særligt bemærkelsesværdigt, at Forsvarsministeriet ikke har sendt en ny hovedlov i høring, således som Forsvarsminister Troels Lund Poulsen ellers lovede i et svar til Folketingets Forsvarsudvalg i det tidlige forår.
I svaret skriver ministeren bl.a.:
”Forsvarsministeriet forventer at sende udkast til lovforslagene i offentlig høring i løbet af foråret 2024 med henblik på fremsættelse for Folketinget i åbningsugen i oktober
2024.”
Nu har vi snart Sct. Hans og der er fortsat ikke kommet noget udkast fra Forsvarsministeriet.
Virksomhederne bør ikke sidde stille
Rikke Slavensky der er ekspert på området og partner hos NP advokater peger i en anden artikel overfor OPS-Indsigt på, at den manglende danske lovgivning ikke gør, at de danske virksomheder bare kan sidde stille.
“Selvom den danske lovgivning ikke er på plads før den 1.januar 2025, så har vi fortsat et EU-direktiv, der er direkte gældende i dansk ret pr 17. oktober 2024,” siger hun til OPS-Indsigt.
Rikke Slavensky ligger her på linje med politisk konsulent i Dansk Erhverv, Joen Magieres
”Det kommende direktiv markerer en væsentlig skærpelse i arbejdet med cybersikkerhed, og det stiller flere og større krav til de virksomheder, direktivet omfatter. Derfor anbefaler Dansk Erhverv, at man som virksomhed begynder forberedelserne så hurtigt som muligt. Det kan være et ganske omfattende arbejde,” lyder det i et presseopslag.
I Dansk Erhverv understreger man altså vigtigheden af, at virksomheder hurtigst muligt får adgang til den nødvendige vejledning for effektivt styrke deres forsvar mod cybersikkerhedstrusler.
Vejledning er tyvstartet flere steder
Forsvarsministeren skriver i sit svar, at direktivet minimumsimplementeres, og udkastene til lovforslagene vil derfor lægge sig tæt op ad direktivernes ordlyd. (NIS 2- og CER-direktiverne)
”Virksomheder og myndigheder vil således allerede fra den offentlige høring i foråret få et overblik over de krav, der forventeligt vil træde i kraft ved årsskiftet”, skriver man.
Problemet er bare, at der endnu ikke er udsendt en lovgivning i høring og da ikke er sket, kan det blive svært at gennemskue, hvad man præcist skal forberede sig på.
Samtidig kan vi iagttage, at både Dansk Industri og Dansk Erhverv har oprettet deres egne vejledningssider, altså længe før ministeriet har barslet med et lovudkast, for at imødegå de stadig strammere deadlines, som vil udfordre virksomheder og offentlige institutioner det næste halve år.
Kommer i sommerferien
Vi har kontaktet både Forsvarsministeriet og Center for Cybersikkerhed, for at få en status på, hvor den lovede hovedlov, som skulle være udkommet i foråret, befinder sig og hvornår man kan forvente, at kunne læse den?
Hertil svarer Forsvarsministeriet i en kort mail:
“Forsvarsministeriet forventer at sende forslag til lov om foranstaltninger til sikring af et styrket cybersikkerhedsniveau, som skal implementere NIS 2-direktivet, i høring over sommeren, dog således at høringsfristen vil udløbe et stykke tid efter sommerferien.”
Rikke Slavensky ser ikke anden udvej end, at virksomhederne snarest får sat sig ned og afdækket deres position. For som hun siger: ”Det er ingen undskyldning, at vi ikke har en dansk lovgivning, for EU-direktivet er direkte gældende i dansk ret pr 17 oktober.”