8 January 2024
Sikkerhedsfirmaet Orange Cyberdefense Danmark vurderer, at så længe der ikke findes nogen dansk NIS2-lovgivning, vil virksomhederne arbejde med alt muligt andet, der er tættere på forretningen.
Den 6. februar fortalte forsvarsminister Troels Lund Poulsen (V), at den kommende NIS2-implementering bliver forsinket grundet kompleksitet og omfang i lovarbejdet.
I praksis betyder det, at Danmark kommer til at overskride den implementeringsfrist, der i direktiverne er fastsat til den 17. oktober 2024. NIS2-direktivet er sat i verden for at skabe et højere og mere ensartet cybersikkerhedsniveau på tværs af medlemsstaterne i EU.
Denne beslutning er, ifølge Ulrik Ledertoug, der er forretningsudvikler i Orange Cyberdefense Danmark, ikke god nok.
”Uanset hvordan man vender og drejer det, er det nøleri en sovepude under cybersikkerheden,” siger han.
Han peger på, at så længe der ikke findes nogen dansk lovgivning, vil pressede direktioner og bestyrelser arbejde med alt muligt andet, der er tættere på forretningen. ”De rykker ikke af sig selv på opgaver som NIS2. Ikke før banen er kridtet op,” vurderer han.
I Forsvarsministeriets pressemeddelelse står der, at ”..fristen for, hvornår erhvervsliv og myndigheder skal følge de nye EUregler, udskydes til, når lovforslagene er færdigbehandlede i Folketinget, forventeligt i slutningen af 2024, og derefter trådt i kraft.”
Den formulering er Ulrik Ledertoug ligeledes noget skeptisk overfor fordi, der ikke formuleres en fast deadline for projektet. ”Hvis vi til efteråret bliver stillet over for en kort deadline for fuld compliance, fordi lovprocessen har slugt en masse tid, vil det skabe kaotiske arbejdsforhold for både de berørte virksomheder og for de danske sikkerhedsleverandører. Markedet vil blive støvsuget for konsulenter, og mange virksomheder vil opdage, at de ikke kanløse opgaven med interne ressourcer, og at der ikke er eksterne folk at hyre,” lyder hans kritik.
I konsulenthuset PcW er man mere besindig og opfordre til, at danske virksomheder går i gang med opgaven på trods af udsættelsen. ”Anbefalingen herfra er at fortsætte med implementeringen af NIS2-kravene i organisationen - særligt, hvis man har kunder eller samarbejdspartnere i øvrige EU-lande, hvor den nationale implementering ikke er forsinket,” skriver Aleksandar P. Piletich, der er Head of Privacy, Data Protection Law and Cyberlawi PwC, på sin LinkedIN-profil.
Europaparlamentet har vedtaget NIS2-direktivet som en opfølgning på det tidligere NIS-direktiv fra 2016. Begge direktiver sigter mod at forbedre cybersikkerheden i kritiske sektorer på tværs af EU, da samfundet bliver stadig mere afhængigt af digitale systemer. Med øget trussel fra avancerede cyberangreb er det afgørende, at både myndigheder og virksomheder styrker deres cyberforsvar.