Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Ligesom resten af Europa oplever vi herhjemme en stigning i cyberangreb. Antallet af ransomware-angreb og angreb på forsyningskæden er naturligvis blevet bemærket af politikerne i Europa-Parlamentet.
For at styrke den fælles modstand mod disse trusler vedtog EU i 2018 ”Network and Information Systems Directive.”
Direktivet har til formål at forbedre cybersikkerheden i EU ved at øge modstandsdygtigheden af kritisk digital infrastruktur og netværk mod cyberangreb og andre sikkerhedstrusler.
Men her seks år senere, hvor den digitale evolution i takt med cybersikkerhedslandskabet har udviklet sig drastisk, er det nu det nyere NIS2-direktiv, der er i spil.
Ved at etablere fælles sikkerhedsstandarder på tværs af lande og stille krav om beskyttelse af kritiske net- og informationssystemer, er hensigten blandt andet at udvide sikkerhedsreglerne til flere sektorer og virksomheder end i det oprindelige direktiv.
Men EU's deadline for implementering 18. oktober 2024 blev overskredet, og – som det ser ud nu – skal vi langt ind i 2025, før vi kender det endelige resultat.
Og det er til stor frustration og usikkerhed for alle dem, der har brug for at kende den konkrete lovgivning for at være compliant.
Alle kan komme i klemme
Overholdelse af de kommende NIS2-direktiver medfører flere udfordringer for svenske virksomheder, da direktivet ikke længere kun omfatter store virksomheder.
Fremover vil også mellemstore virksomheder være underlagt de nye regler, hvilket markant udvider kravenes omfang.
Detaljerede krav til implementering af cybersikkerhedsteknologi, personaleuddannelse og overholdelse af lovgivningsstandarder vil medføre øgede driftsmæssige krav og omkostninger.
Herhjemme har vi, ligesom mange andre lande, oplevet en stigning i angreb på forsyningskæden.
Dette udgør en særlig risiko for udbydere af administrerede tjenester (MSP'er) og konsulentfirmaer, der ofte fungerer som bindeled med adgang til flere kunders netværk.
Som lille eller mellemstor virksomhed kan det virke uoverskueligt at skulle sætte sig ind i, om – og hvor meget – man er omfattet af NIS2. For hvornår er virksomheden en del af ”en kritisk digital infrastruktur”?
Er din virksomhed i hackernes kikkert?
Først er det vigtigt at definere, hvad der menes med ’kritisk’.
NIS2 omfatter nemlig ikke kun virksomheder inden for energi-, sundhed- eller transportsektoren, men også it-tjenesteudbydere, herunder MSP'er, cloud-leverandører og andre, der håndterer eller opbevarer kundedata.
Der findes med andre ord ingen tommelfingerregel, der kan afgøre, om ens virksomhed er omfattet af den kommende lovgivning.
Men hvis jeg skal nævne en række virksomheder, der skal være ekstra vågne den kommende tid er det for eksempel udbydere af internet, cloud-tjenester, datacentertjenester, onlinemarkedspladser, onlinesøgemaskiner og platforme for sociale netværkstjenester samt fremstilling af computere og andet elektronisk udstyr.
Man kan eventuelt spørge sig selv: ”Hvis vores virksomhed bliver ramt af et hacker- eller ransomwareangreb – hvem vil det så også gå ud over?”.
Måske samarbejdspartnere og andre virksomheder i virkeligheden er bedre til at vurdere, hvor ’kritisk’ din virksomhed er for andre?
Lang vej til sikkerhed
Angreb på forsyningskæder rammer bredt og rammer ofte underleverandører, som flere virksomheder er afhængige af.
NIS2 understreger nødvendigheden af at sikre forsyningskæden, og Norden kan lede vejen i at udvikle en best practice for samarbejde mellem virksomheder og deres leverandører.
Som en af verdens mest digitaliserede lande lever vi med konstant risiko for at blive ramt af cyberangreb.
Og med NIS 2-direktivet skal virksomheder uddanne personale og optimere interne procedurer, da den offentlige og private sektor er tæt integreret og deler mange digitale systemer.
Selv om NIS 2-direktivet er en udfordring for både store og små virksomheder og institutioner, bør det være et vigtigt incitament til at påbegynde eller styrke it-sikkerhedsniveauet, hvilket er afgørende for den digitale, økonomiske og sociale udvikling i vores land.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
