Et nyt lovforslag, der skal lægge vejen for en fælles front på cybersikkerhedsspørgsmålet i hele EU, er lige nu gået i forhandlinger i EU-Parlamentet.
Det er Morten Løkkegard, der er dansk gruppeformand for Venstre i Europa-Parlamentet, der er udpeget til at lede disse forhandinger.
Målet er, at EU skal opdatere NIS-direktivet, der sikrer et højt sikkerhedsniveau for net- og informationssystemer i EU.
De nye opdateringer skal give en fælles front mod cybertruslen, og det indebærer blandt andet en fælles europæisk definition på hvad kritisk infrastruktur er.
Dette vil udvidde mængden af virksomheder Europa over, der er omfatte af NIS-direktivet.
Læs også: EU klar med ny kæmpe cybersikkerheds-plan: Her er hovedpunkterne
Også stramninger på grænsen for hvor hurtigt databrud skal indrapporteres samt kravene til de myndigheder, der skal håndhæve reglerne er en del af forslaget.
"Cyberkrig kender ingen landegrænser. Derfor er vi nødt til at styrke samarbejdet i kampen mod cyberkriminelle for at beskytte danskernes og europæernes data og vores virksomheder," siger den nyligt udpegede chefforhandler.
Formålet med at opdatere lovgivningen er for Morten Løkkegaard at hæve barren og harmonisere reglerne på tværs af medlemslandene, "så vi hurtigere kan reagere på cyberangreb."
Spørgsmålene man i EU skal finde svar på nu handler om, hvor omfattende forpligtelsen skal være? Skal der sættes deadlines på indberetningspligter for databrud? Og hvis virksomheder og organisationer ikke retter sig efter det, hvad skal der så ske?
Et kludetæppe af et direktiv
Den store udfordring, for de globale virksomheder der rammes af cyberangreb, er, at de er omfattet af 27 forskellige lovregimer og tilgange til loven. Det skaber problemer, når cyberangreb går på tværs af landegrænser.
"Det er altså ikke bare en dansk begivenhed, når et dansk selskab rammes," forklarer Løkkegaard.
"Selvom Mærsk-angrebet eksempelvis foregik mod en dansk virksomhed, så er langt størstedelen af forretningen bestående af aktiviteter ude i verdenen."
Det var i 2017 at cybersikkerhed for alvor kom på kortet for det brede danske erhvervsliv, da blandt andet Mærk-redderiet blev ramt af et så voldsom ransomware-angreb, at det lammede deres globale skibstrafik i flere dage.
Angrebet var rettet mod en række virksomheder og organisationer i mere end 60 lande.
Det der var problemet med det første direktiv var, ifølge Morten Løkkegaard, at flere af EU-medlemslandene havde stor modstand på at få gjort definitioner - som hvad kritisk infrastruktur dækker over - for konkrete.
Læs også: EU-Kommissionen foreslår kæmpebøder til virksomheder med dårlig it-sikkerhed
Der var også protest mod at harmonisere NIS-direktivet for meget, da flere lande frygtede, at det betød, de skulle opgive for meget egenkontrol over den nationale cybersikkerhed.
"Man endte med et kludetæppe af et direktiv, der kunne trækkes i alle retninger," beskriver Løkkegaard.
Derfor står man i dag med et regelsæt, der ifølge Morten Løkkegaard slet ikke imødekommer virksomhederne og myndighederne i deres bestræbelser på, at svare igen på cybertruslen.
"Det er problemet, og derfor er der også meget bred enighed om, at det skal ændres."
At lægge skinnerne mens man kører
Hvor stor en udfordring er det at finde et fælles fodfæste lige nu?
"Det er det, vi med processen er ved at finde ud af. Det er som at lægge skinnerne mens man kører - det udvikler sig. Den teknologiske udvikling og udvikling i it-kriminaliteten er jo så hurtig, at det er meget svært som lovgiver at følge med. Vi prøver os i virkeligheden frem, som vi også gjorde ved det første direktiv."
På det politiske niveau i Parlamentet forventer Morten Løkkegaard ikke den store uenighed.
"Jeg fornemmer, der er ret stor koncensus i Parlamentet i de såkalde ansvarlige grupper om, at det her skal addresseres, og at det er nødvendigt med en større harmoniseret tilgang."
Der, hvor Morten Løkkegaard ser de store udfordringer, er når forslagene til det nye direktiv sendes i trilogforhandliger. Her inviteres Kommissionen og Ministerrådet med i debatten for at forhandle og afdække løsninger.
Det er i disse forhandlinger medlemsstaterne kommer til orde, med deres meninger, ønsker og bekymringer. Og det er her de fleste forslag møder stor modstand.
"Der er der jo helt sikkert udsigt til væsentligt mere modstand. Det var også her modstanden var sidste gang, og der vil notorisk være stater, der ikke kan se sig selv afgive noget på sikkerhedsspørgsmålet."
Hvorfor har nogen så meget modstand mod at lave en fælles front? Det er vel en større fordel at have et samlet cyberforsvar?
"Det er også paradoksalt. EU tilsiger at alle bare kommer i gang, for national cybersikkerhed er et fælles spørgsmål."
Men udfordringerne opstår, når 27 EU-lande - med hver deres strategier, allierede og fokusområder - skal konkret ned i materien og tage stilling til lovens konkrete dele.
"Det er meget et spørgsmål om national suverænitet, som der har været altid. Det er jo et nybrud, at man overhovedet går ind i sikkerheds- og udenrigspolitik på EU-plan. Men dette er et industrielt og indre lovmarked for os. Det her lovforslag til det nye direktiv udspringer af et markedshensyn."
En strømlining
Vi har i forvejen en masse vidensdeling på tværs af CERTer og andre organisationer. Hvorfor er denne lovtekst nødvendig, når der allerede eksisterer et utal af samarbejder?
"Der er en hel masse samarbejder i gang, fordi organisationerne og virksomhederne ikke har kunne vente på, at EU finder på et eller andet. Det har i høj grad været terrortruslen, der i sin tid satte gang i processen med at få lavet noget udenom lovgivningen."
Alene her hjemme har der siden 2018 eksisteret en DCIS -decentrale cyber- og informationssikkerhedsenhed - for hver af Danmarks seks kritiske sektorer.
De seks sikkerhedsenheder har til opgave at koordinere sektorens samlede cybersikkerhedsstrategi. DCIS'erne blev til på baggrund af national lovgivning på området.
"Så du kan godt vælge at kalde det her for en strømlining af noget, der allerede er i gang. For det er klart, at virksomhederne ikke sidder med hænderne i skødet. Det er deres eksistens og indtjening det handler om, så de finder veje."
Hvad er det for nogle udfordringer, som I skal imødekomme for de her virksomheder, der har rykket udenom lovgivning nu? Hvor er den store gulerod for dem nu?
"Som altid, når det handler om virksomheder, så er der dybest set ét formål for dem; det er at sikre deres bundlinje. Skønheden ved det er, at der derved er en fælles interesse for at etablere fælles cybersikkerhed."
Med denne klare fælles kurs virksomheder og lovgivere imellem, tror Morten Løkkegaard på, at et lovforslag derved bliver lettere at slippe afsted med politisk set.
"Næste spørgsmål er så, hvor hurtigt nationalstaterne har rykket, for det er dem, der er aller bagest i bussen, når det kommer til udvikling af det her."
Lovgivningen er for langsom
Hvorfor kommer det lige præcis nu? Er det SolarWinds- og Exchange-hacket, man reagerer på nu?
"Det er svært at pege på en enkelt begivenhed, der har kickstartet det. Men siden 2016 er der jo én lang stribe af angreb, som bliver rapporteret med jævne mellemrum - både på statslige institutioner og på store virksomheder. Der går snart ikke en dag, hvor man ikke hører om det."
Det var særligt præsidentvalget i 2016, hvor Donald Trump blev valgt som USA's præsident, der satte gang i debatten og rette fokus mod cybersikkerheden globalt.
"Det har været et ynk at iagtage hvor langsom, det er gået. Men efter 2016 begyndte virksomheder og myndigheder at rykke udenom lovgivere, for nu begyndte det at blive for farligt. Vi risikerede alle at det vestlige demokrati, som vi kendte det, at blive udraderet indefra af de her kræfter."
2016 ligger nu fem år tilbage. Har vi været for langsomme til at komme i gang med denne udvikling?
"Ja. Ingen tvivl om det. Det står mig helt klart. Det har jeg ment længe, at på det her område, der går det alt for langsomt. Der er mange områder, hvor man kan sige at lovgivning er bagefter udviklingen. Men intet sted er det vel mere tydeligt end på sikkerhedsspørgsmålet."
Cybersikkerhed - en hastesag
Hvor mange flere ressourcer kræver de nye tiltag i dette forslag af virksomhederne?
"Der er ingen tvivl om, at det her betyder nødvendige investeringer, for at man kan leve op til de her regler. Og det er ressourceomfattende. Men alternativet er dyrere. Tænk på hvad det kostede Mærks, da de blev ramt i 2017. Det kostede dem over en milliard ikke at have styr på deres system."
Lækkegaard gætter selv på, at et system med større sikkerhed havde været billigere sluppet.
Læs også: Halvdelen af alle danske rederier frygter at deres skibe bliver ramt af et hackerangreb
"Så ja, det er nødvendige investeringer. Investeringer som virksomhederne kommer til at skulle gøre og sikkert har gjort alligevel. Det man som - især - stor virksomhed, må belave sig på i fremtiden er at investering i sikkerhed skal medregnes i budgettet, når man lægger forretningsplanen."
Frem til første juli kører forhandlinger med de andre grupper i Parlamentet.
Derfra går lovforslaget videre til at blive diskuteret i plenarmøde, hvor parlamentets medlemmerne stemmer om forslaget.
Og til sidst skal den i trilogforhandlinger.
Når sidstnævnte så er overstået, så står et færdigt lovforslag tilbage.
"Det er en lang proces. Men når det så er sagt, så fornemmer jeg, en hastesag. Der er en stor appetit på at få det kørt hurtigt igennem, fordi vi i forvejen er bagud."
