Den 1. juli er den nye dato for implementeringen af NIS2 i dansk lovgivning
15 October 2024
Dansk implementering af NIS2-lovgivning udskudt - igen!
Opdateret 15 oktober 2024
EU’s NIS2-direktiv træder i kraft d. 17. oktober i hele Europa – undtagen i Danmark. Her er vi nemlig ikke klar! Det bliver vi først i begyndelsen af 3. kvartal 2025, forlyder det nu. Hvad betyder det? Hvilke konsekvenser får det for cybersikkerheden i de organisationer, der er omfattet af direktivet – og hvordan sikrer man, at man er compliant inden den nye lovgivning træder i kraft?
Fire NIS2-udsættelser
Først var der én udsættelse. Så var der to, så tre og nu er implementeringsdatoen af NIS2, der er den almindelige betegnelse for det direktiv, som skal sikre et højt fælles cybersikkerhedsniveau i EU, blevet udskudt for fjerede gang. 3 dage før NIS2 oprindeligt skulle have været implementeret i Dansk lovgivning, meddeler Ministeriet for Samfundssikkerhed og Beredskab, at det har underrettet EU-Kommissionen om, at NIS2-direktivet først forventes at træde i kraft i dansk lovgivning den 1. juli 2025 – hvilket er knap ni måneder efter den frist, EU gav medlemslandene.
Udskydelse er tegn på nøleri
Den 5. februar 2024 meddelte Forsvarsministeriet, at arbejdet med implementeringen af EU’s nye NIS2-direktiv i dansk lovgivning tager længere tid end forventet. Lovforslaget var oprindeligt planlagt til at blive fremsat for Folketinget i første kvartal af 2024, først sendt i høring d. 5 juli 2024, med henblik på at det kunne vedtages i oktober 2024, efter Folketingets sommerferie, men på grund af lovarbejdets kompleksitet og omfang forventes det nu først at blive vedtages i februar 2025.
Udskydelsen betyder, at Danmark ikke kan overholde den implementeringsfrist, som EU har fastsat til den 17. oktober 2024 i hele Europa. I første omgang forventede Forsvarsminister Troels Lund Poulsen, at NIS2-direktivets implementering i dansk lovgivning ville blive udskudt med ca. to måneder, så det ville træde i kraft i slutningen af 2024. Det holdt ikke! Kort tid efter blev datoen rykket til den 1. januar 2025, for igen at blive rykket til den 1. marts 2025 få måneder senere. Og nu forlyder det så, at datoen er udskudt endnu engang til den 1. juli 2025.
Udskydelsen har igennem længere tid udløst bred kritik fra eksperter i cybersikkerhed, IT-jurister og konsulenthuse. En kritik, som Ulrik Ledertoug, Director of Business Development & Services hos Orange Cyberdefense Danmark, er enig i.
”Uanset hvordan man vender og drejer det, er udmeldingen fra Forsvarsministeriet tegn på nøleri, som vil komme til at være en gigantisk sovepude under cybersikkerheden i Danmark”, udtaler han.
Cybersikkerhed er et samfundskritisk område
NIS2-direktivets formål er at skabe et højere og mere ensartet cybersikkerhedsniveau for alle virksomheder, organisationer og myndigheder, der har ansvar for kritisk infrastruktur – såsom vand, energi, fødevarer, transport, kommunikation og sundhed. Forbedringen af cybersikkerheden skal ske på tværs af alle EU-medlemslandene, og det er der ifølge Ulrik Ledertoug i høj grad behov for i det trusselsbillede, vi står overfor – både nu og fremover.
”Det er samfundskritisk, at vi får styrket cybersikkerheden på grund af den ustabile geopolitiske situation i verden, som har medvirket til at øge cybertruslen markant. Men så længe der ikke findes nogen dansk NIS2-lovgivning, frygter jeg, at pressede direktioner og bestyrelser vil arbejde med alt muligt andet, der er tættere på forretningen. De rykker ikke af sig selv på opgaver som NIS2, før de er forpligtet til det ved lov”, vurderer han. Og han fortsætter:
”Nogle af de seneste eksempler vi har set på, hvor stor truslen er, er de mange DDoS-angreb, som konstant overbelaster danske virksomheder, offentlige organisationer og myndigheders hjemmesider, samt de langt mere alvorligere cyberafpresningsangreb, der kan få fatale følger for de virksomheder, der bliver ramt. Disse trusler skal vi simpelthen tage alvorligt. Det er også derfor, vi oplever, at Center for Cybersikkerhed i januar 2023 hævede trusselsniveauet for cyberaktivisme fra pro-russiske cyberaktivistgrupper fra middel til høj og i midten af juni 2024 hævede truslen fra destruktive cyberangreb mod danske organisationer og virksomheder, der leverer kritisk infrastruktur, fra lav til middel. Den sidste udmelding fik den danske regering og Beredsskabsstyrelsen til umiddelbart derefter at komme med nye anbefalinger til danskerne om, at vi skal opbygge et forråd som gør, at vi kan klare os i tre døgn i tilfælde af kriser og hybridkrig.”
De mange udskydelser kan blive et stort problem
Set i dette lys, er det ifølge Ulrik Ledertoug, kritisabelt, at vi i Danmark, ikke kan overholde den oprindelige deadline for, hvornår de mange NIS2-omfattede virksomheder og offentlige organisationer, skal have deres sikkerhedsforbedringer i drift.
”Ifølge Forsvarsministeriet træder NIS2-direktivet først i kraft, når lovforslaget er færdigbehandlet i Folketinget, hvilket nu formentligt først sker i marts 2025, men det er alt for vagt, og det får mange til at læne sig tilbage i sædet i stedet for at gå aktivt ind i NIS2-arbejdet”, siger Ulrik Ledertoug.
”Allerede nu ved vi, at mange af de berørte virksomheder, organisationer og myndigheder ikke er kommet ordentligt i gang og dermed heller ikke har lavet en detaljeret køreplan for de minimumskrav i NIS2, som alle véd skal implementeres, for det står sort på hvidt i NIS2-direktivet. Men fordi direktivet endnu ikke er implementeret i dansk lovgivning, er der stor fare for, at alle sover videre indtil efter nytår – imens alle dem, der vil os det ondt, for fuld kraft fortsætter med at afsøge vores kritiske infrastruktur for sårbare angrebspunkter”, forklarer Ulrik Ledertoug. Og han fortsætter:
”Hvis vi forestiller os en skala for cybersikkerhed, der går fra 1 til 5, hvor 1 svarer til lav modstandskraft over for cyberangreb og 5 svarer til optimal beskyttelse mod cyberangreb, så svarer NIS2-compliance til cirka 3,5 - 4.0. Men mange af selv de allerstørste danske virksomheder – som gennem en årrække har investeret massivt i deres cybersikkerhed – ligger i øjeblikket på omkring 1,5. Og SMV’erne er langt under det niveau. Det siger sig selv, at det er gambling på højt plan, hvis vi bare bliver ved med at lade stå til og udskyde arbejdet. Det er helt nødvendigt, at vi kommer i gang – NU!”
Markedet bliver støvsuget for konsulenter
Ifølge Ulrik Ledertoug øger de mange udsættelser også risikoen for, at vi bliver kastet ud i en virkelig kaotisk proces i foråret 2025 - særligt hvis det ender med, at vi får en meget kort deadline til fuld compliance.
”Fordi lovprocessen nu sluger en masse ekstra tid, kan man godt frygte, at det vil betyde virkelig kaotiske tilstande og arbejdsforhold for de berørte virksomheder, organisationer og myndigheder og for de danske sikkerhedsleverandører inden så længe, fordi det skaber en situation, hvor flere lige venter og ser tiden an, til begyndelsen af 2025. Det skaber risiko for, at markedet bliver støvsuget for eksterne konsulenter og NIS2-eksperter helt indtil sommerferien”, fortæller han. Og han fortsætter:
”Når alle, der er omfattet af de nye skærpede regler, opdager, at de har brug for hjælp, fordi de ikke kan løse hele opgaven med deres interne ressourcer, så risikerer vi en række alvorlige flaskehalsproblemer, fordi mange af de berørte virksomheder, organisationer og myndigheder får svært ved at nå i mål inden den nye deadline. Men på det tidspunkt vil der ikke være nok eksterne folk at hyre, fordi efterspørgslen vil være langt større end udbuddet”, lyder Ulrik Ledertougs bekymring.
Gå i gang nu – og brug tiden rigtigt
Derfor er opfordringen fra Ulrik Ledertoug helt klar til alle berørte virksomheder, organisationer og myndigheder:
”NIS2 er noget alle bør have på dagsordenen – og prioritere højt nu. I må ikke gå i stå, men skal fortsætte med implementeringen på trods af udsættelsen, så I kan blive compliant hurtigst muligt. Hvis I ikke er startet endnu, så kom i gang. Det er især vigtigt, hvis man har kunder eller samarbejdspartnere i andre EU-lande, hvor den nationale implementering ikke er forsinket”, lyder hans anbefaling.
Risikostyring og rapportering bliver vigtigt
Når NIS2-direktivet er implementeret i dansk lovgivning – og trådt i kraft, skal alle, der beskæftiger sig med samfundskritisk infrastruktur, leve op til nogle særligt skærpede forpligtelser inden for to centrale områder: Risikostyring og rapportering til myndigheder.
I forhold til risikostyringsindsatsen kommer der med indførelsen af NIS2-direktivet et helt andet krav om robusthed og implementering af skadeforebyggende og begrænsende sikkerhedsforanstaltninger, der reducerer risici og dermed også konsekvenser af et cyberangreb. Det betyder, at områder som Incident Management, sikring af forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering, planer for sikring af forretningskontinuiteten, genopretning af systemer, nødprocedurer, og etablering af en kriseorganisation, bliver uhyre vigtigt at have styr på – og noget som ledelsen skal være bekendt med.
Når det kommer til rapportering, så skal alle virksomheder, organisationer og myndigheder, der er omfattet af NIS2-direktivet have etableret processer for, hvordan rapporteringen til myndighederne skal foregå i tilfælde af, at de bliver udsat for en væsentlig sikkerhedshændelse. I Danmark bliver den ansvarlige tilsynsmyndighed Center for Cybersikkerhed, og de skal have besked inden for 24 timer. Herefter har man 72 timer til at aflevere en mere uddybende rapport og en måned til at udarbejde en fyldestgørende rapport.
Ledelsen kan drages til ansvar
Som noget nyt pålægges ledelserne (direktionen og bestyrelsen) i de berørte virksomheder, organisationer og myndigheder også et juridisk ansvar for, at der er styr på cybersikkerheden og der vanker store bøder på helt op til 10 millioner euro eller 2 pct. af den årlige globale omsætning, hvis man ikke lever op til kravene i direktivet.
Ifølge Bo Drejer, der er GRC Manager hos Orange Cyberdefense, venter der en stor del af de berørte virksomheder, organisationer og myndigheder en omfattende, men ikke umulig opgave, som kræver, at man sætter sig ordentligt ind i de nye regler og forbereder sig bedst muligt på, hvad der venter, så man er klar når de nye skærpede cybersikkerhedskrav en gang træder i kraft.
”Hvis man bare læner sig tilbage i sofaen og smækker benene op på kaffebordet, løber man en enorm cyberrisiko. Vi har længe kunnet se, at antallet af alvorlige cyberangreb stiger og vi er blevet mere sårbare. Det hjælper en udskydelse af NIS2-implementeringen i dansk lovgivning ikke ligefrem med at sætte en stopper for, og det er bekymrende. For den kedelige udvikling ser bare ud til at fortsætte. Derfor er det uheldigt, at de nye regler og lovgivningen endnu ikke er på plads i Danmark, så vi følger resten af EU”, siger han.
Få lavet en risikovurdering
Men det værste vi kan gøre nu, er at sidde på hænderne. Noget af det allervigtigste alle berørte virksomheder, organisationer og myndigheder kan gå i gang med lige nu, er at lave en risikovurdering, så de kan få et overblik over, hvor sikkerhedsmodne de er – og hvilke indsatsområder, de skal prioritere først. Derfor kommer Bo Drejer med denne opfordring og et par gode råd til alle de virksomheder, organisationer og myndigheder, der bliver omfattet af NIS2:
”Vent ikke på at lovgivningsprocessen begynder. Gå i gang nu. Første skridt er at få lavet en risikovurdering, som giver overblik. Det er en vigtig og værdifuld forudsætning for, at man kan foretage den nødvendige optimering af ressourcer og prioritering af indsatsområder, hvilket er fundamentet for, at man kan arbejde målrettet med at styrke den operationelle cybersikkerhed. Alt det kan Orange Cyberdefense hjælpe med”, forklarer Bo Drejer. Og han fortsætter:
”I samarbejde med vores kunder laver vi en risikovurdering – og her handler det altid om at identificere de fundamentale og vigtigste forretningsfunktioner, som derefter gør det muligt at definere og implementere de konkrete sikkerhedstiltag, der sikrer, at man er beskyttet tilstrækkeligt i forhold til at blive NIS2 compliant.”
Risikovurderingen er selve grundforudsætningen for at kunne prioritere de operationelle sikkerhedstiltag og konkrete indsatsområder. For at kunne opbygge den nødvendige resilience, handler det om at opbygge en modstandsdygtighed, som sikrer mod kompromittering af kritiske netværk, systemer, data og applikationer i form af:
- Protection – det er her der ”sættes lås på døren”, så man mindsker risikoen for ulovlig indtrængen
- Response – det er her, man ”fanger og inddæmmer” en ulovlig indtrængen og afbøder et angreb
- Recovery – det er her man reetablerer til normal tilstand igen
Ønsker du mere information, rådgivning eller hjælp til at blive NIS2-compliant så kontakt Bo Drejer: bo.drejer@orangecyberdefense.com
Om NIS2
Europaparlamentet har vedtaget NIS2-direktivet som en opfølgning på det tidligere NIS-direktiv fra 2016. Begge direktiver sigter mod at forbedre cybersikkerheden i kritiske sektorer på tværs af EU, da samfundet bliver stadig mere afhængigt af digitale systemer.
Med en øget trussel fra avancerede cyberangreb og cyberafpresning, er det afgørende, at både virksomheder, offentlige organisationer og myndigheder styrker deres cyberforsvar markant.
De nye skærpede cybersikkerhedskrav i NIS2-direktivet omfatter mellem 1.100-1.400 danske virksomheder, organisationer og myndigheder inden for bl.a. it-, energi-, transport-, sundheds-, finans- og fødevaresektoren, som skal forberede sig på at opbygge et it-forsvar, der er langt mere avanceret end det, de har i dag.
Forsvarsministeriet har i juli 2024 udsendt et udkast til den rammelov, der skal implementere NIS2-direkltivet i Danmark. Loven om foranstaltninger til sikring af et højt cybersikkerhedsniveau, er netop sendt til høring i Folketinget. Lovforslaget omfatter alle NIS2-sektorer på nær tele-, energi- og finans, der har/får deres egen regulering.
