Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Den 10. november 2022 kl. 11:16 blev NIS2 direktivet vedtaget i EU-parlamentet. Det betyder, at der nu kun mangler formaliteter, før nedtællingen på 21 måneder betyder. Det har fået mange virksomheder til at begynde at se på direktivets krav, men hvad med de offentlige myndigheder?
Direktivet har til formål at sikre, at der implementeres foranstaltninger, der sigter på at opnå et højt fælles niveau af cybersikkerhed i hele Unionen. Det betyder, at direktivet skal sikre, at de systemer og den hardware, som er nødvendig for at kunne levere tjenester, som er vigtige for samfundet, skal beskyttes.
Vigtigt for det danske samfund
Det giver rigtig god mening i et land som Danmark, der er er blandt de mest digitaliserede i verden. Med denne digitalisering følger også øgede trusler fra kriminelle eller fjendtlige aktører, som angriber den digitale infrastruktur, eller de systemer, som understøtter leverancen af de samfundsvigtige tjenester, som det danske samfund i stigende grad er afhængige af.
Derfor er direktivet vigtigt for det danske samfund og også en gevinst for de virksomheder, som formår at omsætte deres forbedrede sikkerhed til en konkurrencefordel.
Derfor skal vi have NIS2
NIS2 er en opdatering af NIS1-direktivet fra 2016. Opdateringen sker af flere årsager. En af de primære årsager er, at NIS1 blev implementeret forskelligt fra medlemsland til medlemsland, og også forskelligt inden for de enkelte medlemslande.
Dette gjorde, at NIS1 reelt ikke fungerede som en ensartet
EU-lovgivning, da det ikke var harmoniseret på tværs af sektorer og medlemslande, hvorfor det mange steder blev en hindring for det indre markeds funktion og for virksomheder, der arbejdede på tværs af medlemslande.
Men hvad med alle de myndigheder, som nu får nye myndighedsopgaver?
Når jeg underviser i NIS2, joker jeg nogle gange med, at der er mange virksomheder, som alle sammen skal ud at finde personer, der kan hjælpe dem med både risikovurderinger og risikostyring, implementering af sikkerhedsforanstaltninger, hjælpe med overvågning, rapportering og indberetninger til myndighederne.
Der er ikke nok folk
Og at der simpelthen ikke er folk nok med de nødvendige kompetencer til at løse de opgaver. Det ser dog endnu værre ud for de myndigheder, som skal løfte nye opgaver, da den offentlige sektor historisk set har haft sværere ved at ansætte og fastholde sikkerhedskompetencer.
Danmark skal have en eller flere nationale myndigheder, som skal stå for efterlevelsen af direktivets krav inden for deres sektor. Direktivet dækker 18 sektorer. Betyder det så, at Danmark skal have 18 nye tilsynsmyndigheder, som alle sammen skal rekruttere for at kunne varetage deres nye tilsynsopgaver?
Vi skal også have en eller flere CSIRT’er (Computer Incident Response Team), som også har en række myndighedsopgaver, som de skal varetage, herunder skal de eller myndigheden svare en virksomhed på deres tidlige varsel uden unødigt ophold og, hvor det er muligt, inden for 24 timer efter modtagelsen af den tidlige varsling.
Det er altså en opgave, som kræver en eller anden form for døgnbemanding, og hvis virksomheden ønsker det, kan den anmode om vejledning eller operativ rådgivning om gennemførelsen af mulige afbødende foranstaltninger, så svaret kan ikke blot være en kvittering på modtagelse af indberetningen.
Implementering af NIS2-direktivet i dansk lovgivning
Det er derfor vigtigt, at vi i Danmark får en så gennemtænkt og planlagt implementering af NIS2-direktivet, herunder varetagelsen af myndighedsopgaven, i dansk lovgivning som muligt. Danmark er et lille land, og det er således ikke hensigtsmæssigt, at op til 18 myndigheder skal etablere ens systemer og setup samt opbygge de samme kompetencer for at kunne løfte de samme opgaver.
Samtidig vil det være en stor administrativ byrde, hvis de omfattede virksomheder skal forholde sig til flere myndigheder, fordi deres organisation går på tværs af de omfattede sektorer. Hermed skal virksomheder potentielt forholde sig til flere forskellige regler, krav og tilsyn, selvom der er tale om lovgivning, der udspringer fra det samme direktiv.
Yderligere vil NIS2-direktivet, DORA-forordningen og anden kommende EU-lovgivning lægge et stort pres på de tilgængelige kompetencer, hvilket blot vil øges, hvis der oprettes mange sektormyndigheder, som alle også efterspørger disse kompetencer. Dette kan desuden medføre vanskeligheder for de enkelte sektormyndigheder i forhold til at opbygge tilstrækkelig kritisk masse for at sikre det nødvendige faglige niveau til opgavens varetagelse.
En ensartet og centraliseret implementering af NIS2-direktivet i dansk lovgivning kan gøres på flere måder. For mig er der primært tre områder, hvor der med fordel kan ses på en mere smidig og centraliseret implementering af direktivet i dansk lov, både for omfattede enheder og for de centrale myndigheder, som får myndighedsopgaver i forbindelse med håndhævelse af direktivet.
Lovgivningen
Når der skal laves dansk lovgivning, som implementerer direktivet i dansk lov, vil det være en fordel for både myndigheder og organisationer, hvis disse sektorspecifikke love bliver så ens som muligt.
Jeg håber derfor, at CFCS og Justitsministeriet i fællesskab laver et grundudkast til de sektorspecifikke love, så alle de sektorspecifikke love tager udgangspunkt i det samme grundudkast, og de sektorspecifikke regler samtidig holdes til et minimum.
Dette ville kunne resultere i så ens lovgivning som muligt på tværs af de omfattede sektorer, hvilket både vil gøre udarbejdelse af lovgivningen hurtigere, men også sikre en langt højere grad af harmonisering af reglerne i Danmark.
Hermed lettes efterlevelsen for de omfattede organisationer, hvilket også reducerer de administrative byrder. Et forslag kunne være, at grundudkastet udgør 95 pct. af loven, og sektormyndighederne kan tilpasse de resterende 5 pct.
Tilsyn
I stil med ovenstående anbefaling vedrørende lovgivningen vil det gøre efterlevelsen og tilsynsopgaven mindre byrdefuld for både myndigheder og omfattede organisationer, hvis CFCS i samarbejde med en eller flere andre offentlige myndigheder udarbejder et tilsynskoncept, som de sektorspecifikke myndigheder kan tilpasse deres sektors specifikke krav eller behov til.
Dette vil gøre myndighederne i stand til at sparre med hinanden om tilsyn samt gøre det nemmere for medarbejdere at skifte mellem myndigheder eller omfattede organisationer.
Det vil samtidig også gøre de omfattede organisationers arbejde mere smidigt, da de ikke skal forholde sig til forskellige koncepter, hvis de agerer inden for flere sektorer og derfor er omfattet af flere kompetente myndigheder. Ligesom med lovgivningen, bør det være relativt få justeringer, som sektormyndighederne laver i tilsynskonceptet, så det meste er ens på tværs af sektorerne.
Kombinere myndigheder
I NIS2-direktivet er der samlet set 18 sektorer, som alle er omfattet af direktivets regler. Dette kunne i en dansk kontekst blive til 18 sektorspecifikke love og 18 tilsynsmyndigheder, men det behøver det ikke. Uanset det reelle tal, bør centraladministrationen samtænke organiseringen af myndighedsopgaven.
Derfor bør det undersøges, hvilke sektorer der kan slås sammen under en fælles myndighed, så der kan oprettes/udpeges færre myndigheder. Dette vil både lette ressourcetrækket på den offentlige sektor, da færre myndigheder vil skulle håndtere de nye opgaver, men det vil også medføre, at der er mindre efterspørgsel på de nødvendige kompetencer i forhold til at udføre myndighedsopgaven under NIS2.
For de omfattede organisationer vil det også være en fordel, idet de tværsektorielle myndigheder kan reducere det potentielle antal tilsyn, de omfattede organisationer bliver underlagt. De samme argumenter gør sig gældende for oprettelsen af CSIRT’er i Danmark, som skal håndtere de mere tekniske aspekter af hændelser under direktivet.
Hvis disse tre konkrete initiativer iværksættes, så kan vi imødegå den fremtidige mangel på kompetente professionelle inden for cyber- og informationssikkerhed samt mindske de administrative byrder forbundet med implementeringen og efterlevelsen.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.