Cybersikkerhed – NIS2 og dansk implementering
Medlemmer af Dansk IT’s udvalg for cybersikkerhed Tine Tuxen Løvstrand, Sarah Aalborg og Thomas Kristmar peger i aktuel kronik i JP på en ny lovgivning, der skal løfte Danmarks cybersikkerhed, hvor kommunerne udelades – Kronikørerne spørger: hvem tager ansvaret? Ny lovgivning skal løfte Danmarks cybersikkerhed, men kommunerne udelades – hvem tager ansvaret? (jyllands-posten.dk) (Kilde Dansk IT)
Snart skal mange af Danmarks samfundskritiske organisationer overholde EU’s nye strenge NIS2-krav. Men hvad med kommunerne, som opbevarer store mængder af borgernes mest følsomme data? Når de udelades fra kravene, overlades ansvaret for deres cybersikkerhed til hver enkelt kommune. Hvem bærer ansvaret, når risikoen for datatyveri stige og debat om hvorfor kommunerne ikke er en del af denne kritiske sikkerhedslovgivning.
Der foreligger en endelig lovtekst i form af EU-sikkerhedsdirektivet NIS 2.0. Direktivet afløser en version fra 2018 og medregner nu forsyningssektoren, (som i vid udstrækning jo hviler i en kommunal struktur) som kritisk infrastruktur.
Flere danske forsyningsselskaber, der varetager samfundsvigtige funktioner, og drikkevands- og spildevandsforsyninger skal derfor opruste for at beskytte sig mod cyberangreb. Mange har i praksis mærket virkninger af at blive hacket, derfor bruger disse virksomheder også stadig flere kræfter på at sikre data mod angreb, tyveri og nedbrud af forskellig art. Der stilles stadig flere compliance-krav til dem, hvilket indebærer, at man arbejder systematisk med en række områder omkring sikkerhed og dokumentation.
NIS 2.0 (Net- og Informationssikkerhedsdirektivet) vil supplere den nye nationale strategi for cyber- og informationssikkerhed og skal styrke Danmarks digitale sikkerhed og robusthed på tværs af samfundet, så virksomheder og organisationer kan dæmme op for cybertruslen.
De nye regler stiller skærpede krav til topledelsen, som får ansvar for at godkende sikkerhedsforanstaltningerne og for at føre tilsyn med virksomhedens it-sikkerhed – så sikkerhedsniveauet matcher aktuelle risikovurderinger. Derudover vil der stilles der bl.a. krav om rapportering til myndigheder om eventuelle IT-sikkerhedshændelser.