Er der nogen med erfaring fra store projekter der har prøvet at overholde en tidsfrist og et budget, der er fastsat af andre?

Nu plejer der at skulle ret meget til, før EU opstarter sager mod medlemslande, der ikke får transponeret EU-love ind i national lovgivning inden for deadline. Og man vil sandsynligvis lade stå til i den måneds tid, forsinkelsen varer som et tegn på goodwill.

Men det forholder sig generelt sådan med EU-lovgivning, at et direktiv kan have direkte retsvirkning på nationalt plan, hvis det ikke er implementeret inden deadline, og i det omfang, at der ikke eksisterer et nationalt råderum.

Her kan man altså godt trække en dansk virksomhed i retten og påberåbe sig EU-retten — også selvom den endnu ikke er at finde i dansk lovgivning.

Så jeg synes da, at de danske virksomheder skal få fingeren ud, for det er ikke en undskyldning, at danske love og løsninger endnu ikke er klar. Dette så vi bl.a. da Finanstilsynet påbød de danske banker at stoppe med at benytte NemID-papkortet, selvom MitID endnu ikke var helt klar — fordi det efter EU-reglerne (eIDAS-forordningen) og SCA-reglerne i PSD2-direktivet burde have været klar.

Det forholder sig faktisk helt omvendt — man kan som privatperson og virksomhed ikke straffes for at følge EU-lovgivning, når den nationale lovgivning enten mangler eller er forældet:

https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=celex%3A61978CJ0148#DI

Det værste er at pludseligt kommer reglerne, og så får virksomhederne en alt for kort frist til at tilpasse sig!

Jeg tror mere det handler om embedværket, dvs dette var sket lige meget hvilken regering der var ved magten undtaget er dog diktatoren. Diktatoren skulle nok sikre gennemførelse til tiden, men Danmark ville nok ikke kunne være med i EU så.

...så er der jo ikke megen tvivl om hvad det ender med, så der er ikke rigtigt nogen undskyldning for ikke bare at komme i gang!

Fokus er sikring af kritiske leverancer - og her er områderne godt defineret. Kritiske sektorer og vigtige sektorer er kendt, og dertil alle de virksomheder der indgår som kritiske leverandører til førnævnte.

Man kan jo læne sig tilbage i stolen og vente til nogen kommer og siger at man ER omfattet - eller man kan bruge sin sunde fornuft og gå i gang hvis det overvejende sandsynligt at man er med! Uanset - så er det de samme ting der skal til:

1. Kortlægning af processer - for at finde dem der reelt er kritiske
2. Kortlægning af levenrandører der indgår i leverancen, og opstilling af modeller for leverandørtilsyn
3. Basal sikring (evt. baseret på CIS) af al egen infrastruktur der indgår i leverancerne
4. Nødplaner for opretholdelse af leverance i tilfælde af nedbrud / angreb
5. System (ISMS) til styring og dokumentation af procesesser og politiker relateret til indsatsen.

Alt sammen ting man egentligt allerede burde have styr på, og som man bare kan gå igang med.

Måske version2 kunne dykke lidt ned i hvad effekten kommer til at blive i forhold til en række anden lovgivning, som til dels også er bundet op på NIS2 lovgivningen, nu hvor den er er forsinket.

Hvordan kommer forsinkelsen til at påvirke:

• CER: Lov om implementering af CER-direktivet" fremsættes af Forsvarsministeren i februar 2024 og omfatter implementering af CER-direktivet "i en række sektorer". CER omhandler digital og fysisk sikkerhed i konteksten af hybride angreb, naturkatastrofer, terrortrusler og folkesundhedskriser. Reglerne vil gælde for specifikt udpegede virksomheder indenfor 11 kritiske sektorer, og vil delvist have et overlap med NIS2 og DORA.

   

• "Lov om styrket beredskab i energisektoren" fremsættes af Klima-, energi- og forsyningsministeren i februar 2024. Lovforslaget skal sikre implementering af både NIS2 og CER i energisektoren.

   

• DORA: "Ændring af lov om finansiel virksomhed og forskellige andre love" fremsættes af Erhvervsministeren i februar 2024, og omfatter dels implementering af NIS2 i relation til finansielle datacentraler og IT-operatører af detailbetalingssystemer, dels ændringer til lov om finansiel virksomhed som følge af DORA.

   

Denne regering magter ikke på nogen måder at få styr på vores IT sikkerhed!  
Den er symbolet på en ny generation af politikere som ikke magter at løfte deres ansvar! 
Man er mere aktiv med SM på spin-kontoret, end man rent faktisk laver det arbejde man er blevet valgt til!