Derfor er Danmarks forsinkelse af cyberdirektiv et alvorligt problem

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

Behovet for et højere niveau af cybersikkerhed i hele EU er presserende og har ført til NIS2-initiativet. Men ny lovgivning handler ikke kun om at være ’compliant’ på papiret.

Den nuværende NIS-regulering (Network and Information Systems) kræver, at organisationer implementerer passende og proportionale kontroller ved hjælp af state-of-the-art-teknologier. Et af de vigtigste krav er at gennemføre en grundig risikovurdering.

Dette udgør imidlertid en betydelig udfordring for de fleste væsentlige eller vigtige enheder, da en risikovurdering er afhængig af en klar forståelse af de kritiske aktiver, der understøtter væsentlige funktioner. Desværre mangler mange organisationer et opdateret og præcist aktivregister, idet det ofte er ufuldstændigt eller helt mangler.

Danmark havde oprindeligt et mål om at være tidligt ude med implementeringen af NIS2-reguleringen, men annoncerede i februar i år, at man ville blive forsinket. Nu har den danske regering igen besluttet at udskyde implementeringen af NIS2-direktivet, hvilket betyder, at det tidligst træder i kraft i sommeren 2025.

Årsagen til forsinkelsen er angiveligt, at man vil sikre en grundig og velovervejet proces. Forsinkelsen giver virksomheder mere tid til at forberede sig, men det indebærer også den risiko, at de nedprioriterer problemet. Det er endda rimeligt at antage, at yderligere udskydelser er sandsynlige, da implementeringen allerede er blevet udsat to gange. Det sender også flere alarmerende signaler, både for virksomheder og det danske samfund som helhed.

Alarmerende signaler

Ved at udsætte implementeringen forsinker Danmark for det første sin egen og sine virksomheders tilpasning til højere sikkerhedsstandarder, hvilket øger risikoen for cyberangreb. Forsinkelsen skaber også usikkerhed og efterlader virksomheder uafklarede omkring kravene og tidsfristerne, hvilket kan forhindre dem i at tage rettidige sikkerhedsforanstaltninger – og dermed gøre virksomhederne sårbare.

I mellemtiden kan andre EU-lande, der allerede har vedtaget NIS2, styrke deres cybersikkerhed og opnå en konkurrencemæssig fordel. Danske virksomheder, især dem, der håndterer kritisk infrastruktur og data, risikerer at sakke bagud på det globale marked.

Denne forsinkelse kan også signalere, at Danmark ikke prioriterer cybersikkerhed, hvilket potentielt kan påvirke tilliden fra virksomheder og partnere, der er afhængige af stærk beskyttelse.

Klar til regulering

Selvom der stadig er noget tid tilbage til, at danske organisationer kan blive compliant, er det klart, at virksomhederne skal handle nu, hvis de vil have en chance for at være foran hackerne. Ifølge en Armis-rapport har der det seneste år været en stigning på 104 procent i antallet af cyberangreb - et tal der ikke viser tegn på at falde.

Med dette in mente bør organisationer i Danmark forberede sig på NIS2 ved at tage avancerede løsninger i brug, der muliggør ’asset-intelligence’ i realtid, sårbarhedsanalyse, AI-drevet trusselsdetektion og afhjælpning samt kontekstuel hændelsesinformation, så IT-sikkerhedsafdelingerne kan træffe informerede risikostyringsbeslutninger. På denne måde kan organisationer være sikre på, at de ikke halter bagefter i forhold til hverken lovgivningens krav eller trusselsaktører – de løser proaktivt problemerne, inden en hændelse opstår.

NIS2-direktivet er et EU-direktiv, og medlemslandene er forpligtede til at implementere det. Manglende overholdelse af tidsfrister kan føre til problemer, hvor sanktioner – som kan løbe op i 10 millioner euro eller 2 pct. af den globale omsætning – kan være det mindste af en organisations bekymringer.