NIS2-ekspert bekymret over virksomheders nølen: Frygter GDPR-lignende kaos

9. maj kl. 05:0010
NIS2
Emil Bisgaard, erhvervsjuridisk rådgiver hos Poul Schmith/Kammeradvokaten, frygter, at NIS2-opgaven bliver for uoverskuelig, hvis virksomheder venter med at gå i gang, til myndighederne melder noget ud. Illustration: Ingeniøren.
Danske virksomheder er tilbageholdende med at komme i gang med NIS2-arbejdet, fordi der fortsat hersker usikkerhed om de kommende danske regler. Der er dog flere ting, man allerede nu kan gøre, understreger ekspert. Og det er bare med at komme i gang nu, hvis man vil nå det i tide.

De sidste par måneder har repræsentanter fra erhvervslivet flere gange udtrykt bekymring for, at danske virksomheder ikke når i mål med de kommende EU-krav til it-sikkerhed  i tide.

Der er nemlig kun lidt over et år til deadline for implementering af NIS2-dirketivet, og mange er fortsat forvirrede over, hvordan it-sikkerhedsloven fra EU helt konkret kommer til at gælde herhjemme. Mange afventer en udmelding fra de myndigheder, der har ansvaret for at oversætte direktivet til en dansk kontekst.

Læs hele artiklen

Tech Management er Teknologiens Mediehus’ ledelsesmedie, der klæder dig på til stærk ledelse i den teknologiske transformation.

Få 3 ugers gratis prøveabonnement. Betalingskort er ikke påkrævet, og du bliver ikke flyttet til et betalt abonnement efterfølgende.

Du kan også få tilsendt et tilbud til dig.

Abonnementsfordele
vpn_key
Fuld adgang til Tech Management
Alt indhold på Tech Management er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
10 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
4. maj kl. 08:54

Lad os starte med det basale:

NIS2 er IKKE en "it-sikkerhedsloven fra EU". Det er en lovgivning der skal sikre viden og vidensdeling om hændelser (ikke kun angreb). Der stilles krav om nogle kapabiliteter, hvoraf en del er digitale.

minde en del om det, mange endte i med GDPR, hvor man virkelig havde travlt frem mod, loven fik virkning i Danmark,« siger han til Version2.

Ja, men ret beset er risikoen ret lille, hvis impact og sandsynlighed er det samme som GDPR. så hvorfor skynde sig?

Det, som er kernen i NIS2, er et grundlæggende krav til, at du skal arbejde risikobaseret

Hvor i NIS2 står dette? som jeg husker NIS2, så står der ikke noget om risikobaseret, der står at man skal kunne dokumentere forskellige forhold.

Hvis der stod at virksomhederne skulle arbejde risikobaseret, ville det kræve så meget mere og ville kræve en implementeringsperiode på et par år, mindst. Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret.

10
7. maj kl. 20:13

Ja, men ret beset er risikoen ret lille, hvis impact og sandsynlighed er det samme som GDPR. så hvorfor skynde sig?

Ja, det kræver ikke megen tid med regnearket at konstatere at det er billigere at betale bøden, end at bruge en masse tid på at leve op til kravene.

4
4. maj kl. 12:44

Læs direktivets paragraf 20:

Overskriften er 'Kapitel IV Foranstaltninger til styring af cybersikkerhedsrisici og rapporteringsforpligtelser'

Artikel 20 Styring

  1. Medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel. ...
  2. Medlemsstaterne sikrer, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.

Jeg synes, at det handler rigtig meget om risikobaseret tænkning og -styring.

5
4. maj kl. 13:26

Jeg er ikke enig, Artikel 20 siger ikke noget om at det skal være risikobaseret. Risikostyring er blot en mulighed for at opnå målet.

6
4. maj kl. 13:36

https://gdpr-info.eu/issues/privacy-impact-assessment/"Basically, a data protection impact assessment must always be conducted when the processing could result in a high risk to the rights and freedoms of natural persons. " - så du SKAL vurdere risici for de data du behandler - således at du kan lave en PIA på de rigtige.

Så jeg kan ikke andet, end at se det som et krav at man vurderer risici (sandsynlighed og impact) for datatab af forskellig art - og derved har man været pænt inde over de samme områder, som NIS2 omhandler.

3
4. maj kl. 11:14

Hvis der stod at virksomhederne skulle arbejde risikobaseret, ville det kræve så meget mere og ville kræve en implementeringsperiode på et par år, mindst. Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret.

Du må mene noget andet end den interview'ede mht. risikobaseret. Som opsummeret fint her - står det allerede som et krav i GDPR at man skal arbejde risikobaseret med sin sikkerhed / databeskyttelse - https://www.collibra.com/us/en/blog/adopting-a-risk-based-approach-to-comply-with-gdpr

Så hvis man ikke gør det allerede, er man i brud med GDPR :(

7
4. maj kl. 13:44

Enig i at det står i GDPR lovgivningen, men dette handler om NIS2 og en nogle andre typer af virksomhed end dem som arbejder med følsomme persondata.

Dog vil jeg, som Lorry skriver, også påstå at "Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret."

Jeg arbejder for en stor dansk virksomhed. Her ser jeg nærmest ingen dokumentation for at man arbejder med risikobaseret ledelse.

Der er en politik, der siger at vi skal arbejde risikobaseret, men intet krav om at risici skal dokumenteres og der har aldrig været et kursus om hvad en risiko er.

Jeg høre flere tale om risici, men hver gang er det sårbarheder der tales om, ikke risici.

fx. At noget ikke er patched og indeholder en sårbarhed som producenten mener er kritisk, betyder ikke at der er en væsentlig risiko. En risiko er kombinationen af sandsynlighed og konsekvens. Yderligere hvis det aktiv der skal beskyttes ikke har nogen særlig værdi så er risikoen igen lavere.

En risikobeskrivelse er nød til at beskrive hvilket form for tab der kan forventes, hvilken trussel der kan gør skade og hvilken sårbarhed truslen udnytter.

8
4. maj kl. 14:05

En risikobeskrivelse er nød til at beskrive hvilket form for tab der kan forventes, hvilken trussel der kan gør skade og hvilken sårbarhed truslen udnytter.

Og det er præcis hvad en PIA er - og som derfor er krævet at man udarbejder ifbm. GDPR

9
4. maj kl. 14:24

Artiklen handler om NIS2 ikke GDPR.

Selv når vi taler GDPR vil jeg fastholde at "Der er ikke ret mange virksomheder som kan dokumentere at de de arbejder risikobaseret."

Dokumentere/dokumentation er nøgleordet her.