"Vi skal stramme op, og jeg synes, at NIS2-reguleringen – eller i hvert fald dens hensigter – er meget fornuftig," siger András Ács Pedersen, der er lektor på erhvervsakademiet Zealand. Foto: Privat
Kan du huske historien om den krumme agurk?
I slutningen af 1980’erne indførte EU en regel om, at en agurk ikke måtte krumme mere end 10 mm pr. 10 cm.
Selvom reglerne egentlig var gamle FN-standarder, satte agurk-reglerne gang i debatten, og EU-skeptikerne mente, at de krumme agurker var et indlysende billede på, at EU er lig med overregulering.
I dag findes der ifølge Folketinget over 40.000 stykker lovgivning, som EU’s institutioner har vedtaget – og snart skal vi i Danmark implementere en mere af dem, nemlig NIS2.
Hvis man spørger András Ács Pedersen, der er lektor på erhvervsakademiet Zealand, er der dog ikke en overhængende risiko for, at NIS2-direktivet bliver ”en ny krum agurk” og endnu et stykke ligegyldig og overregulerede EU-lovgivning. Vi har nemlig stærkt brug for NIS2, mener han.
- Vi skal stramme op, og jeg synes, at NIS2-reguleringen – eller i hvert fald dens hensigter – er meget fornuftig, siger András Ács Pedersen.
Kan hjælpe mod angreb
Kort og godt handler NIS2 om it-sikkerhed, og direktivet regulerer primært større virksomheder, der står for vores kritiske infrastruktur.
NIS2 er en overbygning på net- og informationssikkerhedsdirektivet (NIS) fra 2016. NIS2 blev vedtaget i 2022, og Danmark skulle efter planen have implementeret reglerne i oktober, men Forsvarsministeriet har meddelt, at man bliver omkring to måneder forsinket. Forventningen er derfor, at NIS2-lovgivningen kommer til at gælde fra starten af 2025 herhjemme.
NIS2 er på en måde en lov, der hjælper virksomhederne med at gøre det rigtige.
- NIS2 er regulering af sund fornuft, siger András Ács Pedersen.
- I øjeblikket kan man ikke åbne for medierne, uden at der dukker nogle meget alvorlige cybersikkerhedsnyheder op. Der er meget røre og aktivitet i hackerkredsene – også dem, vi kalder APT (advanced persistent threats, red.), som er de statssponsorerede hackergrupper.
- Så NIS2 er på en måde en lov, der hjælper virksomhederne med at gøre det rigtige og forsøge at undgå at blive ramt af de her angreb.
Teknik og governance
András Ács Pedersen, der tidligere har været webchef på TV2 Øst, underviser i dag på Zealands bachelor i it-sikkerhed, og han har desuden skrevet bogen ”It-sikkerhed i praksis” sammen med kollegaen Karsten Dahl Vandrup.
- Selvom alle it-folk bruger engelsk i dagligdagen, synes vi alligevel, at det var fedt at lave noget læringsmateriale på dansk – for det er bare et plus, hvis man kan tilegne sig viden på sit modersmål, siger András Ács Pedersen.
De to kolleger skrev også bogen, fordi de gerne ville forene to sider af it-sikkerhed, som ikke altid taler så godt sammen i dagligdagen.
- På den ene side er der den organisatoriske it-sikkerhed med compliance og governance, og på den anden side har vi den hardcore tekniske it-sikkerhed med hacking, pentesting og kryptografi. Vi har forsøgt at få de to verdener til at mødes, fortæller András Ács Pedersen.
Regeringen forventer, at NIS2-direktivet vil blive implementeret og fungere som dansk lov fra 1. januar 2025. Foto: Canva
Den kritiske infrastruktur
Og det leder os egentlig meget godt tilbage til NIS2. For EU-direktivet er i virkeligheden også et forsøg på at styrke både den tekniske og den organisatoriske del af cyber-sikkerheden i de store virksomheder, som vi alle sammen er afhængige af.
NIS2 opsætter en række krav til virksomhedernes cybersikkerhed. Et af kravene er eksempelvis, at man skal have politikker for håndtering af cyber-hændelser, og et andet er, at man via tekniske og organisatoriske foranstaltninger skal sikre sig, at man kan begrænse skaderne af et eventuelt angreb.
De nye NIS2-regler kommer ikke til at omfatte alle, men er møntet på de virksomheder og organisationer, der leverer kritisk infrastruktur, og som har en vis størrelse. I Danmark regner man med, at mellem 1.500 og 2.000 virksomheder vil blive direkte berørt.
Man vil desuden skelne mellem væsentlige og vigtige virksomheder, forklarer András Ács Pedersen.
- De væsentlige er dem, vi ikke nærmest kan klare os uden – for eksempel mobiltelefoni, banksystemer eller sundhedsvæsenet. Det vil få meget vidtrækkende konsekvenser, hvis de ikke fungerer, siger han og fortsætter:
- De vigtige kan vi derimod godt undvære lidt længere, hvis de bliver ramt. Det kunne eksempelvis være fødevarevirksomheder eller posten. Her bryder samfundet ikke ned, hvis der er et udfald på et par timer eller måske endda nogle dage.
Ansvaret ligger hos ledelsen
Desuden vil NIS2 også påvirke underleverandører, så man sikrer sig mod supply chain attacks, hvor hackerne går efter det svageste led i forsyningskæden.
- De store virksomheder er nødt til at sikre, at deres underleverandører også lever op til de samme kriterier som dem selv, siger András Ács Pedersen og fortsætter:
- Den eneste forskel mellem den lille underleverandør og eksempelvis DSB, som bliver direkte omfattet af NIS2, er, at DSB kan få de store sanktioner, mens underleverandøren bare kan miste sin kunde.
En af de gode ting ved NIS2 er, at det starter oppe i ledelsen. Det er dem, der skal godkende beredskabsplanerne og risikoanalyserne.
En af de primære sanktioner, som virksomhederne, der er direkte omfattet af NIS2, kan blive ramt af, hvis de ikke overholder reglerne, er bøder. De ”væsentlige” virksomheder kan få en bøde på op til 10 mio. euro, mens de ”vigtige” virksomheder kan få en bøde på op til 7 mio. euro.
En vigtig del af NIS2 er dog også, at det er ledelsen i en virksomhed, der bliver ansvarlig for cybersikkerheden – og hvis reglerne bliver brudt, kan ledelsen miste deres ret til at stå i spidsen for virksomheden, påpeger András Ács Pedersen.
- En af de gode ting ved NIS2 er, at det starter oppe i ledelsen. Det er dem, der skal godkende beredskabsplanerne og risikoanalyserne, så det forpligter den øverste ledelse til at involvere sig i det her arbejde – det er ikke noget, de kan snige ind i en afdeling og så fralægge sig ansvaret, siger han og fortsætter:
- Det, der ofte kan være en stopklods for it-sikkerhed i dag, er, at den øverste ledelse ikke kan se meningen med det eller forstår det. Nu kommer de til at stå på mål for al it-sikkerhed, så de bliver nødt til at uddanne sig og tage det alvorligt. Det bliver mejslet i sten, at de rent faktisk kan miste deres job, hvis de ikke har styr på det.
Formålet med NIS2 er at forbedre cybersikkerheden i virksomheder og organisationer, der leverer kritisk infrastruktur – f.eks. energi, transport, digital infrastruktur, sundhed og fødevarer.
De endelige krav til de danske virksomheder er endnu ikke på plads, da EU-direktivet først skal implementeres i dansk lovgivning. Regeringen har meddelt, at man ikke når det inden fristen i oktober, men at lovgivningen ventes at træde i kraft 1. januar 2025.
Overordnet stiller NIS2 en række minimumskrav til virksomhedernes cybersikkerhed og arbejde med compliance:
NIS2 kræver også, at virksomhederne rapporterer til myndighederne inden for 24 timer, hvis de bliver ramt af en større hændelse. I Danmark bliver det Center For Cybersikkerhed, virksomhederne skal rapportere til.
Den dybe tallerken er opfundet
Selvom NIS2 kan virke som en stor mundfuld, er det langt fra alle, der vil blive ramt af en våd klud i ansigtet, når reglerne træder i kraft, lyder det fra András Ács Pedersen.
Man kan nemlig dele virksomhederne op i to arketyper, påpeger han.
- Der er dem, som vil sige: ”Nå, er det bare det? Jamen det gør vi jo i forvejen”. De vil blot skulle formulere nogle ting på en ny måde, og så vil de leve op til NIS2, siger András Ács Pedersen.
- Og så vil der være de virksomheder og offentlige institutioner, som virkelig er i knibe, fordi de aldrig har tænkt på it-sikkerhed som deres kernekompetence.
Selvom nogle virksomheder får travlt med at få styr på deres cybersikkerhed, så de lever op til de nye regler, er den gode nyhed, at de ikke skal opfinde den dybe tallerken – vi har nemlig allerede opfundet løsningerne, påpeger András Ács Pedersen.
- NIS2 siger, at it-sikkerhedsarbejdet skal bygge på internationalt anerkendte standarder – og dem har vi allerede, siger han.
NIS2 siger, at it-sikkerhedsarbejdet skal bygge på internationalt anerkendte standarder – og dem har vi allerede.
Lektoren vil af konkurrencehensyn ikke anbefale en standard fremfor en anden, men han peger på, at standarder som ISO 27001 og ISO 22301, D-mærket, NIST Cybersecurity Framework og CIS Controls kan bruges – og at man eventuelt kan bruge en blanding af de forskellige frameworks.
- Og det er i hvert fald sjældent en god idé, at man opfinder sit eget system, understreger András Ács Pedersen.
Bliver aldrig 100 pct. sikker
Det er dog ikke nok at læne sig op ad de anerkendte løsninger, når man arbejder med it-sikkerhed. Det er afgørende, at virksomhederne også følger med i trusselsbilledet, påpeger lektoren.
- Vi har nogle fantastiske standarder og frameworks, men de er baseret på fortidens trusler. Så hvis man implementerer dem, beskytter systemerne os kun mod de risici, vi kender fra fortiden – men trusselsbilledet udvikler sig hele tiden, siger András Ács Pedersen.
AI vil for eksempel være et område, hvor vi vil se nogle nye trusler, og de er endnu ikke adresseret i de her frameworks.
Generelt vil de løsninger, virksomhederne gør brug af, heller ikke eliminere risikoen fuldstændig.
De minimerer risikoen for alvorlige sikkerhedshændelser, men der vil altid være en restrisiko, siger András Ács Pedersen.
Det er også vigtigt, at alle efteruddanner sig, så man har en generel awareness.
Lektoren peger desuden på, at det er vigtigt at gøre sit cyberforsvar målbart. Man skal stille sig selv de svære spørgsmål – eksempelvis hvor mange alvorlige hændelser har vi haft det seneste år? Hvor mange har vi afværget? Hvornår har vores medarbejdere været på kursus i dit og dat? Hvor mange ansatte har multifaktor-godkendelse?
- Hvis man stiller de her spørgsmål og tager dem med i sit compliance-arbejde, er det en motivation for hele organisationen, og så kan man få etableret nogle gode procedurer, siger András Ács Pedersen og fortsætter:
- Man kan aldrig svare, at man er 100 pct. sikker, men hvis man stiller de samme spørgsmål år efter år, kan man forbedre sig. Hvis man eksempelvis kan se sort på hvidt, at man havde 17 hændelser sidste år, men kun løste to af dem, så skal der nok ske noget. Så det kan drive noget udvikling og skabe bedre it-sikkerhed.
Fokus på security champions
For den enkelte it-medarbejder vil det afhænge meget af tid, sted og stillingsbetegnelse, når vi ser på, hvor meget NIS2 vil påvirke hverdagen.
Sikkert er det dog, at it-sikkerhed vil fylde mere og mere fremover, for det er en transition, vi allerede er i gang med, påpeger András Ács Pedersen.
- Igennem de seneste år har de traditionelle it-jobfunktioner fået flere og flere sikkerhedsaspekter – og det er også vigtigt, at alle efteruddanner sig, så man har en generel awareness.
Ifølge András Ács Pedersen er det dog også en god idé, hvis virksomheder udpeger såkaldte security champions.
- Det er ikke en egentlig stillingsbetegnelse, men det er dem, som altid har en sikkerhedskasket på, når der bliver holdt møder eller sat forskellige tiltag i gang. Det er en god måde at få it-sikkerhed ind nedefra og implementeret i alle teams.
Helt generelt halter det med it-sikkerheden, og NIS2-direktivet har til formål at fremme et højt fælles cybersikkerhedsniveau i hele EU og en harmonisering indenfor udvalgte sikkerhedsområder.
Det er et formål PROSA støtter op om, da det kan bidrage til at fremme fokus på sikkerhed i virksomhederne og dermed mindske økonomiske tab som følge af sikkerhedshændelser og generelt bidrage til at øge trygheden ved digitale løsninger.
Vi har gentagne gange set, at kritisk infrastruktur er blevet angrebet, og derfor er det nødvendigt at sikre, at virksomhederne har fuldt fokus på at sikre deres systemer, og det kan direktivet være med til at sikre.
Niels Bertelsen, formand, PROSA
Godt at det er globalt
Når vi kigger fremad, er det ikke kun NIS2, der vil regulere it-sikkerheden hos de europæiske virksomheder. AI act’en indeholder også sikkerhedsaspekter, og EU arbejder også på en cyber resilience act, der er en sikkerhedsmærkningsordning af it-produkter.
Hvis man spørger András Ács Pedersen, giver det mening, at reguleringerne bliver lavet på EU-plan.
- De enkelte medlemslande skal ikke opfinde deres egne regler, for de her it-sikkerhedsudfordringer er jo globale problemer, siger han.
Jeg tror helt sikkert, at man godt kan implementere NIS2 forkert.
András Ács Pedersen tror på, at NIS2 kan gøre en reel forskel – men han understreger også, at der er nogle faldgruber.
- Hvis man ser kritisk på det, kan man jo godt sige, at det bare er endnu mere papirarbejde og endnu mere compliance – altså bare et ekstra lag af bureaukrati.
- Jeg tror helt sikkert, at man godt kan implementere NIS2 forkert, altså så det bare ser rigtigt ud på papiret, men at der er store huller i det tekniske, siger András Ács Pedersen.
Grundlæggende er lektoren dog positiv, og han regner som sagt ikke med, at NIS2 bliver 2020’ernes krumme agurk-regler – som i øvrigt blev afskaffet tilbage i 2009.
- Vi har brug for sikkerhedsregulering, og NIS2 er et skridt i den rigtige retning.