Torsdag d. 13. apr. 2023
Interview med Computerworld:
NIS2 er på vej med hastige skridt. Det er en realitet. Hos Dansk Erhverv og D-Mærket er der et håb om, at samfundets implementering af den nye cybersikkerhedslov vil gå bedre end dengang verden blev ramt af GDPR i 2018.
NIS2-direktivet er i gang med at blive implementeret, og uret tikker. Den nye lovgivning skal nemlig være implementeret i oktober 2024.
”Situationen kan sammenlignes med den situation, mange virksomheder stod i tilbage i 2018 med GDPR, der skulle implementeres. Der var der en forordning, og der var nogle artikler, men hvordan skulle man lige praktisk gribe det her an?”
Det siger Mikael Jensen, der er administrerende direktør for D-Mærket – en mærkningsordning mellem en masse parter fra erhvervslivet og det offentlige. Mikael Jensen vil sammen med parter som Dansk Erhverv, Dansk Industri, SMVDanmark, Industriens Fond, Forbrugerrådet Tænk og Erhvervsstyrelsen, som tilsammen danner samarbejdet om D-Mærket, udbrede implementeringen af NIS2.
Han understreger, at det ikke er en nem opgave.
”Det er ikke et quickfix for nogen virksomheder at leve op til NIS2,” siger han. D-Mærket vil hjælpe virksomheder, og derfor er virksomheder i gruppe tre og fire i D-Mærket også indbefattet af at leve op til NIS2. Virksomheder behøver ikke få D-Mærket for at undersøge, om de lever op til kravene ved hjælp af selvevalueringen. De kan tage en gratis selvvurdering og finde ud af det, men hvis de ønsker D-Mærket med tilsyn, så må de betale – ikke for selve mærket, men for de tilsyn, der kommer med mærket.
”Det gode er, at i forhold til 2018, hvor vi stod med GDPR, så har vi nu et værktøj,” siger Mikael Jensen og fortsætter:
”Den måde, virksomheder kommer i gang med D-mærket, det er jo, at man bliver registreret, man indtaster nogle data omkring sin virksomhed, og så får man krav og kriterier, der afspejler den risikoprofil, som man har som virksomhed.”
”Drevet af dårlige ting”
Hos Dansk Erhverv ser man positivt på et generelt øget fokus på cybersikkerhed, selvom det er generelt, er problemer og angreb, der forårsager opmærksomheden på området.
”Udgangspunktet er jo ikke raketvidenskab, der skal langt mere fokus på cybersikkerhed, på dataetik, på databeskyttelse, og det er selvfølgelig drevet af dårlige ting. Antallet af angreb er stigende, og de bliver mere og mere sofistikerede, og de rammer også helt almindelige og små virksomheder.”
Sådan siger Casper Klynge, vicedirektør i Dansk Erhverv med ansvar for det digitale område og medlem af styregruppen for D-Mærket, og han fortsætter:
”Vi har herinde 18.000 medlemmer, som har brug for nogle værktøjer til, hvordan skal de leve op til nogle minimumstandarder, så de sørger for at højne deres sikkerhedsniveau på et kritisk tidspunkt. Og det er jo derfor, at vi har kastet vores kærlighed på D-mærket.”
Dansk Erhverv har selv opdaget svage punkter
I forbindelse med D-Mærkets gennemgang, selvevaluering og tildelingsproces har Dansk Erhverv selv opdaget områder, hvor der skal fokuseres mere i forhold til cybersikkerhed.
”Uden at kunne gå i detaljer med, hvad vi skal gøre mere af, så kan jeg sige, at det var en god oplevelse, at vores eksperter sagde, at der er noget at komme efter her,” siger vicedirektøren og fortsætter:
”Der er ting i selvevalueringen og tildelingsprocessen, der gør at vi skal se, om vi har haft de rigtige politikker og diskussioner.”
”Og det siger jeg med en stor anerkendelse af, at vi nok har flere ressourcer og bruger mere tid på cybersikkerhed end de fleste måske gør. Så det har været en virkelig nyttig proces.”
Mere ensartet, men stadig en risiko
Mikael Jensen fortæller, at en fordel for ordningen – og for landets virksomheder og organisationer – er, at NIS2 lader til at blive mere ensartet på tværs af Europa, end det tidligere NIS1 gjorde. Derfor er det muligt at lave nogle rammer, der gælder bredt, og som også gælder i resten af Europa.
”D-mærket bygger på internationale rammeværker og lovgivning. Vi har mappet til dem og til NIS2-direktivet, og der kan vi bare se, at der er en rigtig fin overensstemmelse mellem de krav og kriterier, NIS2 udstikker til ledelsen, om at have overblik og styring i ledelsen og så de tekniske minimumskrav,” siger han.
Han kan dog ikke give en stensikker garanti for, at en virksomhed aldrig vil kunne modtage en NIS2-bøde, hvis den har taget D-Mærket eller benyttet det gratis selveftersyn.
Mest af alt, fordi han ikke mener, man kan give 100 procents garantier med sådan nogle ting, men det handler om at mindske risikoen.
”Inden for det her område, så er der jo ikke nogen garantier. Det er relativt komplekst at arbejde med databeskyttelse, datasikkerhed og dataetik, og det vedrører jo hele virksomheden og alle dens data, processer og aktiver og så videre.”
Han lægger dog vægt på, at de virksomheder, der gennemgår tilsyn har en større sikkerhed for at leve op til NIS2.
”Men fuldstændig sikkerhed, det får man aldrig inden for det her område,” lyder det.
For en lille virksomhed med 1-9 ansatte – eller en såkaldt gruppe I-virksomhed – koster et tilsyn 2.800 kroner, for et tilsyn.
For en gruppe II-virksomhed med 10-49 ansatte koster det 8.400 kroner. Gruppe III med 50-249 ansatte koster 21.000 kroner for et tilsyn, mens gruppe IIII med 250-999 ansatte koster 52.250. Alle virksomheder større end det skal få sig en selvstændig aftale.
Et tilsyn skal gennemføres en gang om året.
