Stort velkommen til NIS2, men...

Annonceindlæg tema

Forsvar & beredskab

Cybersikkerhed, realtidsdata og robuste it-systemer er blevet fundamentet for moderne forsvar.

Per Silberg Hansen

Director Strategic Cyber Risk Advisory hos Improsec

Per er en erfaren risiko- og it-sikkerhedsleder med en lang historik inden for arbejde med den finansielle sektor, beklædnings- og modeindustrien.

Han har over 20 års erfaring med it-sikkerhed, Enterprise Risk Management og Operations Management.

Per har stærkt fokus på forretningsmuligheder og værdier, hvilket har ført til succesfulde implementeringer af Risk Management, Business Continuity og Crisis Management samt IT Security planlægning og eksekvering.

Læs mere

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Der er grund til at hilse det nye NIS2-direktiv varmt velkommen. Det burde være indført for længe siden.

Naturligvis synes vi det, vil nogen nok sige. Vi lever jo af it-sikkerhed, så vi kan naturligvis slet ikke få sikkerhed nok.

Men – og der kommer flere ’men’er i denne klumme.

For ligesom GDPR i sin tid var et nødvendigt tiltag, fordi offentlige og private virksomheder i takt med den stigende digitalisering kom til at råde over flere og flere følsomme persondata.

Så voksede behovet for dels at have overblik og kontrol med disse data, dels at sikre at de ikke blev kompromitteret.

På samme måde er der nu et stigende behov for it-sikkerhed.

Der har naturligvis været behov for it-sikkerhed lige så længe, der har fandtes computere. Men det faktum, at der er krig og uro i verden har ikke ligefrem fået behovet til at falde.

Et andet faktum er, at rigtig mange danske, private og offentlige virksomheder ikke har styr på it-sikkerheden i en grad, så de opfylder kravene i et direktiv som NIS2.

Hånden på kogepladen

En rigtig god ting ved NIS2 er, at det er langt mere operationelt end det oprindelige NIS direktiv.

I NIS2 stilles helt tydelige krav. Det betyder, at det bliver lettere for de it-sikkerhedsansvarlige at forholde sig til.

Dermed bliver de bedre i stand til at definere klart for ledelsen og bestyrelsen, hvad der helt præcist skal til, for at blive kunne leve op til NIS2-direktivet.

Og det bliver dermed lettere for såvel ledelsen som bestyrelsen at danne sig overblik og træffe beslutninger på et veldokumenteret grundlag.

Det er utrolig vigtigt, da det jo et langt stykke hen ad vejen handler om at kunne stille netop ledelse og bestyrelse til ansvar for virksomhedens it-sikkerhed.

De skal også have hånden på kogepladen og ikke kunne forvente, at problemerne løses af it-afdelingen alene.

Ligesom ved GDPR trues der med bøder – store bøder, hvis man bliver grebet i ikke at overholde NIS2.

Det er så her, vores andet ’men’ kommer ind. Hvis man ikke har mulighed for at afse penge i budgettet til investeringer i it-sikkerhed, så kan man med garanti heller ikke skaffe penge til at betale store bøder eller i øvrigt til at betale for reetableringen efter et omfattende angreb.

I det private erhvervsliv er det et langt stykke hen ad vejen et spørgsmål om prioritering, mens det i det offentlige i højere grad handler om budgetter og tildelinger.

Man kan så argumentere for, at hvis en privat virksomhed bliver ramt af et angreb, så er det er problem for virksomheden og måske for dens kunder. Anderledes ser det ud for det offentlige.

Hvis en offentlig instans derimod bliver ramt af et hacker-angreb, så bliver borgerne ramt dobbelt. Det er både vores data, der bliver kompromitteret, og det er os, der kommer til at betale bøden via skattebilletten.

Bedre at forebygge end at helbrede

Men da man jo som bekendt ikke kan klippe håret af en skaldet, er NIS2 nødt til at blive fulgt op af en håndsrækning til de berørte virksomheder.

Store bøder som sanktionsmulighed er måske en nødvendighed.

Men da man jo som bekendt ikke kan klippe håret af en skaldet, er NIS2 nødt til at blive fulgt op af en håndsrækning til de berørte virksomheder.

Jeg vil derfor foreslå, at man for de offentlige virksomheders vedkommende beregner størrelsen af en eventuel bødestraf.

Det tilsvarende beløb afsættes til en pulje, hvorfra de berørte, offentlige virksomheder kan søge om bistand til at blive compliant.

Lidt på samme måde som man fra statens side har belønnet bilejere, der valgte at udskifte deres gamle, udtjente og sikkerhedsmæssigt uforsvarlige biler med nye og langt mere sikre biler.

Dermed har vi i alles interesse højnet sikkerheden på de danske veje – i hvert fald hvad køretøjerne angår.

For de private virksomheders vedkommende er der ingen grund til at lokke med skattelettelser eller lignende. Her burde et sundt, sikkert og velfungerende it-sikkerhedsniveau være løn nok i sig selv.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.