Virksomheder lades i stikken med cybersikkerhed
Nye EU-regler om cybersikkerhed for den kritiske infrastruktur træder i kraft i oktober. Men Danmark er forsinket med at udmønte de nye regler, som omfatter et ukendt antal virksomheder.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
I snart halvandet år har regeringen vidst, at Danmark skulle være klar med implementeringen af EU’s ambitiøse NIS2-direktiv om cybersikkerhed senest i oktober 2024. Direktivet pålægger medlemslandene at gennemføre en massiv oprustning på cybersikkerhed – særligt når det gælder de dele af samfundet, der spiller en vital rolle i den kritiske infrastruktur.
Af samme grund har virksomheder, myndigheder og organisationer længe efterlyst klare retningslinjer fra den danske regering, for ingen har endnu det fulde overblik over, hvor mange virksomheder, der får prædikatet ”kritisk infrastruktur”.
IT-Branchen og Danmarks Statistik anslog sidste år, at over 1.400 danske virksomheder vil blive direkte omfattet af sikkerhedsdirektivet – fra transport til vandværker. Men det er kun toppen af isbjerget. Noget af det første, disse virksomheder vil gøre, er at kigge grundigt på deres leverandørkæder og sikre sig dokumentation for, at underleverandørernes it-sikkerhedsberedskab er på samme niveau.
Det er ubegribeligt, at en så vigtig dagsorden, som berører store dele af dansk erhvervsliv, bliver udskudt.Sofie Freja Christensen
Dermed taler vi altså også om tusindvis af små og mellemstore virksomheder, som får travlt med at opdatere deres beredskabsplaner og risikovurderinger i den kommende tid.
Det er i forvejen ikke nogen nem opgave. Og den bliver kun sværere af, at NIS2 er kompliceret stof, som på nogle områder sammenlignes med implementeringen af GDPR. Ikke mindst når det gælder muligheden for at stange millionbøder ud til de virksomheder, som ikke lever op til kravene til cybersikkerhed.
Også ledelsen kan drages personligt til ansvar, hvis reglerne ikke efterleves. Faktisk kan de blive frataget retten til at være leder i en virksomhed igen. Af samme grund stiller NIS2 krav om, at virksomhedsledere er uddannet i de nye regler.
Tiden er gået, uden at der er kommet nogen form for retningslinjer fra regeringen. Men i begyndelsen af februar udsendte forsvarsminister Troels Lund Poulsen (V) en kortfattet pressemeddelelse med overskriften: ”Nye regler om cybersikkerhed bliver forsinkede”. Det sker forventeligt i slutningen af 2024, skriver ministeren, der begrunder det med ”lovarbejdets kompleksitet”.
Det er efter min bedste overbevisning endnu et tegn på, at man fra politisk hold ikke tager cybersikkerhed tilstrækkeligt alvorligt, selv om antallet af cyberangreb stiger år for år. Og det er ubegribeligt, at en så vigtig dagsorden, som berører store dele af dansk erhvervsliv, bliver udskudt. Det burde have topprioritet for regeringen, som netop har givet et sikkerhedstilsagn til Ukraine om, at den militære støtte fortsætter i ti år.
Vigtigheden af at beskytte den kritiske infrastruktur mod fjendtlige cyberangreb bliver tydeligere dag for dag – ikke mindst i lyset af Ukraines krig med Rusland, der er notorisk kendt for sin hær af internetkrigere, og Kinas blakkede ry for at skaffe sig vestlig teknologi gennem virksomhedsspionage. Derfor ses NIS2 som et kæmpe løft på sikkerhedsfronten. Og af samme grund haster det med at give danske virksomheder klar besked.
