Virksomhederne kan og må ikke vente på politikerne
Leder
I årevis har Danmark brugt digitaliseringen som pakæsel for vores ambition om at blive mere effektive. På landets kontorer er journaler og mapper skiftet ud med computere, varme hænder er erstattet af en app, og logistikken er nu et samarbejde mellem menneske og maskine.
Men i iveren efter med lynets hast at implementere nye, smarte løsninger har mange myndigheder og virksomheder vendt det blinde øje til sikkerheden. Den måtte vente, imens vi digitaliserede videre. Konsekvensen er, at vores smartsamfund står tilbage som et skrøbeligt net af systemer, som kinesiske og russiske hackere kigger på med voksende interesse.
Som Rigsrevisionen har afsløret, mangler der basal it-sikkerhed omkring samfundskritiske it-systemer i en række ministerier, og ifølge Center for Cybersikkerhed er truslen fra cyberspionage og cyberkriminalitet mod Danmark meget høj.
Situationens alvor illustreres tydeligt af en stribe hackerangreb på flere danske universiteter, SAS og Nationalbanken for at nævne nogle stykker, der i det seneste år har fået sveden til at pible frem på panden hos alle, der arbejder med samfundskritisk it-infrastruktur.
Når virksomhederne ikke af sig selv strammer op på sikkerheden, må EU svinge pisken. Politikerne i Bruxelles nåede lige at sende it-sikkerhedsdirektivet NIS2 mod Danmark inden det nye år, og så begyndte nedtællingen. Om cirka 18 måneder vanker der bøder på op mod 10 millioner euro til virksomheder og myndigheder, der ikke lever op til direktivets it-sikkerhedskrav om eksempelvis multifaktorgodkendelse, cybersikkerhedstræning af medarbejdere og risikovurdering af it-systemer.
Især små virksomheder er tilbageholdende med at øge it-sikkerhedsbudgettet med de cirka 22 procent, som EU-Kommissionen estimerer bliver skæbnen for NIS2-omfattede organisationer.
Det er dog mere end tvivlsomt, om danske virksomheder bliver klar til den deadline. Ifølge flere danske erhvervsorganisationer er store dele af dansk erhvervsliv end ikke gået i gang med NIS2-arbejdet, fordi der stadig er usikkerhed om, hvem der ender med at være omfattet.
Afklaringen skal komme fra Forsvarsministeriet, der har fået det koordinerende ansvar for at integrere direktivet i Danmark. En af de opgaver, som følger med, er at udarbejde en liste til EU-Kommissionen over alle de danske organisationer, som i august 2024 bliver underlagt NIS2.
Det arbejde er ministeriet dog ikke nået særlig langt med. Ministeriet kan ikke engang fortælle, hvornår embedsmændene regner med at have listen klar, og det er svært at se, hvordan regeringens fodslæbende tilgang hænger sammen med den massive cybertrussel mod Danmark og andre europæiske lande, som direktivets krav skal adressere. Det her er ikke for sjov.
Når der overhovedet er brug for regulering, skyldes det, at virksomhederne øjensynligt ikke investerer i it-sikkerhed, hvis de ikke bliver bedt om det. Den manglende vejledning fra de danske myndigheder kan således komme til at betyde, at virksomhederne kommer alt for sent i gang med NIS2-arbejdet, og historien lærer os, at det kan betyde kaotiske tilstande.
Tænk blot tilbage på GDPR-eksemplet fra 2018, hvor dansk lov og vejledninger kom i allersidste øjeblik inden deadline. Desperate virksomheder med penge på kontoen havde støvsuget markedet for juridiske ressourcer i flere måneder, og så sad små og mellemstore virksomheder tilbage med ukonkrete vejledninger om et kompliceret emne. Det må ikke gentage sig med NIS2.
Hvert sekund tæller, når det handler om at få strammet op på it-sikkerheden i vores kritiske infrastruktur, og danske myndigheders nøleri med at implementere EU-kravene i national lovgivning risikerer at blive en sovepude for virksomheder, der er bange for at bruge flere penge på it-sikkerhed, end de er nødt til.
Beskeden fra juridiske eksperter, sikkerhedsfolk, erhvervsorganisationer og Morten Løkkegaard, der er europaparlamentariker og topforhandler på NIS2, lyder, at man som virksomhed skal komme i gang med it-sikkerhedsarbejdet lige nu. Uanset om man er usikker på, hvorvidt man ender med at være omfattet af de nye EU-krav eller ej.
Da EU’s parter vedtog direktivet, slog Margrethe Vestager, næstformand for EU-Kommissionen, fast fra talerstolen i Europa-Parlamentet, at det fælles ansvar skal løftes nu:
»Vi er nødt til allerede nu at fremskynde dets (NIS2’s, red.) fordele frivilligt så meget som muligt, for de folk, der angriber os, venter ikke på at direktivet bliver gennemført, hvis de overhovedet forstår eller anerkender den juridiske tekst. Så vi er nødt til at handle så hurtigt som muligt.«
Det udsagn er svært at være uenig i. Regeringen er nødt til at rubbe neglene og øge sit fokus på it-sikkerhed, og Forsvarsministeriet skal meget hurtigt få gjort kravene i NIS2-direktivet til konkret dansk lovgivning. Men virksomhederne må ikke vente på politikerne. Sørg nu for, at din virksomhed er sikret, før hackerne i sidste ende også finder dig.adf
