Artikel top billede

(Foto: Dan Jensen)

Om under 22 måneder er der nye EU-regler for databehandling: Og du skal være klar fra dag et – ellers vanker der bøder

Klumme: EU er ved at nå til enighed om den nye NIS2-lovgivning, der omhandler datatrafik, og hvor den eksisterende NIS 1.0 kun gjaldt offentlige institutioner, så gælder NIS2 også for virksomheder, og får du ikke hurtigt styr på det, kan det koste dig 4 procent af virksomhedens årsomsætning. Bum!

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Her kommer en klumme om EU-lovgivning.

Nej, stop! Du skal ikke klikke væk endnu. Denne gang handler det ikke om lakridspiber eller kanel i middelmådigt dansk bagværk: Det drejer sig om NIS2.

”Skal EU nu også til at have lovgivning om nisser?” vil den gennemsnitlige dansker nok tænke, men alle os, som arbejder inden for it-sikkerhed, ved nok allerede, hvad det drejer sig om.

Med GDPR satte EU en fælles standard for, hvordan kritisk data skal behandles og opbevares, og selvom GDPR er pisseirriterende, så er det for det fælles bedste.

NIS (Network and Information Security) derimod, er en lovsamling, som i første omgang satte krav til offentlige institutioner og organisationer i at sikre, at data transporteres korrekt, sikkert og forsvarligt – og at den rette modtager også modtager dataene. Det er det problem, som e-Boks løser i Danmark.

NIS2 er så næste version af NIS-aftalen, som denne gang ikke kun er for det offentlige, men også private virksomheder af alle størrelser.

Det vil sige, at fra Carlsberg A/S til Karlslunde VVS ApS, så skal virksomheder sikre, at data som transporteres – også ud på det store internet – transporteres forsvarligt.

Og det er virksomhedernes eget ansvar. Har du ikke styr på det, og kommer Datatilsynet på besøg, så kan det koste dig to procent i årsomsætning i bøde – og bryder du på NIS2, så bryder du 99 procent af gangene også GDPR, og så er der to procent oven i. Det løber op.

Forvirret? Skræmt? Ro på.

Den mangler endegyldigt at få EU-parlamentets stamp of approval, men det hele skal nok blive godt, også selvom der modsat GDPR ikke er en indkørselsperiode med NIS2: Inden for de næste 22 måneder, så skal du være compliant med NIS2.

Det lyder som sur røv, for at sige det mildt, men ligesom med GDPR, så er NIS2 en fantastisk ting for vores fælles it-sikkerhed. Den bliver bare træls at implementere for virksomhederne.

Gør om GLS

Formålet med NIS2 er, ligesom med den oprindelige NIS-lovgivning, at sikre datatransport mellem dig som afsender og din modtager.

Hvor GDPR handler om databehandling, så handler NIS2 om datatrafik mellem dig og modtagere.

I praksis betyder det, at du som afsender (virksomhed) skal kunne sikre dig, at data, som transporteres, sker forsvarligt og efter alle lovbestemte standarder, at du verificerer modtagerserveren, men også den endelige modtager, og at det hele logges.

Det svarer lidt til, når du afleverer en pakke hos GLS. Du afleverer pakken og får en kvittering for, at den er modtaget og klar til at sendes sted. GLS logger derefter hele rejsen og sikrer og garanterer, at ingen kan komme til pakken og dens indhold under transport.

Til sidst ankommer GLS til afleveringsstedet, og pakken overleveres først, når modtageren er verificeret.

Danmark er duksen – nu skal virksomhederne med

Vi står dog ret godt i forhold til NIS2 i Danmark. Den danske offentlige sektor med e-Boks er mil foran mange andre markeder i Europa, hvilket vil gøre det lettere for virksomheder også at omstille sig.

Og alle teknologierne er klar til at sikre NIS2-compliance. For mange virksomheder vil det være at starte med et DKIM/DMARC-certifikat på din mailserver.

Det tager kun en halv time at sætte op – skal ske hos it-afdelingen – og så kan modtageren validere, at din mail er den, som den udgiver sig for at være.

Det gør 20 procent af alle virksomheder allerede i dag, så resten skal bare med på vognen. Det er lidt NemID på server-niveau, så vi kan sikre os, at mailen kommer det rette sted fra.

Det er også et fantastisk redskab, som vil resultere i færre phishing- og spoofing-angreb fra Boris The Hacker og andre it-kriminelle.

Og jo, det kan også sættes op på Office 365, og nej: Selvom du benytter Microsofts løsning, så er det stadig dit ansvar og dig, der står med bøden og ikke Microsoft. Ansvaret ligger hos afsenderen og ikke hos serviceudbyderen.

Kun 24 timer efter angreb

En anden lille fantastisk detalje ved NIS2 er, at hvis en virksomhed bliver angrebet, så har den under den nye lovgivning kun 24 timer til, at den skal melde angrebet til myndigheder og kunder, hvis data er påvirket af angrebet.

I dag kan man vente til 72 timer, men det er alt, alt for lang tid.

Slår du op i ”how to stop a hacker attack 1-2-3,” så er første skridt at slukke for netværket, så den it-kriminelle ikke kan påføre yderligere skade.

Men mange virksomheder lader netværket stå åbent, så forretningen kan fortsætte, indtil de 72 timer er gået, og de må råbe efter hjælp hos myndighederne. Her er det første råd (læs: ordre), at de skal lukke ned.

En hacker kan gøre langt mere skade på 72 timer end 24, så selvom det lægger mere pres på virksomhederne, så er det en fantastisk detalje, som både vil komme virksomheder og kunder og forbrugere til gode.

Dobbeltbøder

Som nævnt længere oppe, så er der modsat ved GDPR ingen indkørselsperiode: Fordi det er en udvidelse af NIS-aftalen, så sker implementeringen med det samme, hvilket vil være inden for 22 måneder.

Og de fleste virksomheder vil gå rundt i en illusion om, at hvis de lever op til GDPR, så lever de også op til NIS2 – sådan fungerer det ikke.

Datatilsynet kan komme brasende og kræve at se et udsnit på 4 mails og deres logs – og det er på dag 1 uden at der har været et databrud.

Brud på NIS2 giver bøde på samme måde som ved GDPR: op til 2 procent af virksomhedens globale omsætning.

Men eftersom NIS2 omhandler transport af personfølsomme data, så vil man ved brud af NIS2 i 99 procent af tilfældene også bryde GDPR – og det giver altså en bøde på op imod 4 procent af den globale årsomsætning.

Vi er heldige i Danmark, at selvom GDPR-brud har været alvorlige, så har bøderne været relativt beskedne. I Tyskland og Polen er der blevet udstedt ubehageligt mange 2 procentsbøder.

Kort fortalt

Så hvad skal der ske? Med NIS2 skal virksomheder sikre, at:

Der er styr på transport af data – Der er mange ting, der skal gøres her: Hvor virksomheder før kun var ansvarlige for dataopbevaring, så har du nu også ansvar for data sendt fra dig, indtil den modtages.

  • Valider modtager inden afsendelse af data (mail).
  • Vær sikker på, at vejen er krypteret og sikker.
  • Vær sikker på, at modtageren også er den, der skal modtage den og at det kun er den, som får den (dette kan ændre sig lidt endnu).
  • Log det hele.
Der har været en lemfældig omgang med mails indtil nu, og NIS2 vil gøre op med netop dette: Vi er tilbage ved det rekommanderede brev.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.