Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I sidste uge foreslog Dansk Erhverv, at en arbejdsgruppe skal afklare, hvilke virksomheder fra næste år skal leve op til NIS2-direktivet fra EU.
I KMD bakker vi op vi fuldt op om det forslag, for i øjeblikket befinder virksomhederne sig i et ukendt farvand med ekstrem dårlig sigtbarhed.
NIS2-direktivet har til formål at sikre virksomhederne og vores samfundskritiske systemer mod cyberangreb, og efter planen træder det i kraft 17. oktober 2024, mens efterlevelse skal ske dagen efter.
Det er der ikke noget galt med, tværtimod er tankerne og idéerne bag NIS2 både fornuftige og gennemtænkte.
Går ud over virksomhederne
Det halter dog i den danske implementering af dette EU-direktiv, og det går ud over virksomhederne.
Lad mig forklare hvorfor.
Listen over virksomheder, som skal efterleve NIS2, har frist april 2025, altså et halvt år efter kravet om efterlevelse.
Hvis ikke denne liste lander før fristen, famler virksomhederne i blinde, og det vil være uklart for alle, hvilke virksomhederne der skal efterleve NIS2 og/eller hvilke sektorlovgivninger, der er relevante for den enkelte virksomhed.
Det giver ringe muligheder for virksomhederne til at foretage de rette tilpasninger og investeringer, så de kan leve op til kravene i NIS2.
I værste tilfælde kan denne usikkerhed føre til forkerte investeringer og spild af ressourcer, og i alle tilfælde har usikkerheden allerede ført til bekymring og nytteløse overvejelser om NIS2-farvandets tågede horisont.
Der er brug for klarhed
Der er med andre ord brug for klarhed over, hvornår den nationale lovgivning er på plads, så virksomhederne kan vurdere de nødvendige initiativer, som skal iværksættes for at overholde efterlevelsesfristen.
Letter tågen for tæt på efterlevelsesfristen, når virksomhederne det ikke, og færdiggøres listen over virksomheder, der skal leve op til NIS2, først ved fristen i april 2025, er det et halvt år for sent.
For virksomheder som KMD er denne uklarhed særligt problematisk, da vi - selvsagt og som mange andre -gerne vil overholde gældende lovgivning og have det bedste mulige sikkerhedssetup, men vi har også mange nationale og internationale samarbejdspartnere og kunder, som selvfølgelig vil forvente, at vi efterlever den gældende lovgivning.
Hvis ikke vi får mulighed for at efterleve lovgivningen fra ikrafttrædelses datoen, kan det koste os aftaler og samarbejdspartnere, og så bliver konsekvenserne af denne forvirring og den tågede NIS2-horisont først langvarige.
Det samme gør sig gældende for mange af vores offentlige samarbejdspartnere.
Kommunerne er i et limbo, og her kan de økonomiske konsekvenser, hvis de er omfattet af NIS2, være store, og nogle kommuner kan have svært ved at leve op til kravene i NIS2 grundet økonomi.
Det er på alle måder uholdbart.
Dansk Erhvervs forslag om en arbejdsgruppe er derfor ikke bare en god idé. En arbejdsgruppe er bydende nødvendig.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.