Nye skrappe regler for cybersikkerhed rammer 10 gange så mange virksomheder
Massive bøder venter virksomheder, der ikke overholder et nyt saet EU-regler om cybersikkerhed. Danmark har 21 måneder til at implementere reglerne, og virksomhederne får rigtig travlt, vurderer adjunkt fra CBS.
Nedtaellingen er begyndt.
Om mindre end to år skal bunkevis af danske virksomheder følge et nyt saet skrappe regler om cybersikkerhed, der netop er indgået politisk aftale om mellem EU-Parlamentet og EU-medlemsstaterne.
Direktivet med det mundrette navn NIS 2 udvider nemlig andelen af sektorer, der betragtes som kritiske for samfundet, markant. Dermed bliver langt flere virksomheder end i dag omfattet af reglerne og ikke mindst sanktioner med risiko for bøder i millionklassen.
»De kloge virksomheder taenker på det her nu,« siger Jan Lemnitzer, der er adjunkt på Institut for Digitalisering på Copenhagen Business School (CBS) og forsker i netop cybersikkerhed.
Han forventer, at antallet af omfattede virksomheder stiger med en faktor på 10, når mellemstore og store virksomheder, der arbejder med eksempelvis spildevands- og affaldshåndtering, fremstilling af kritiske produkter, post- og kurertjenester, producenter af medicinsk udstyr eller meget andet ryger med ind under direktivets paraply.
Virksomhederne bliver dermed pålagt at traeffe såkaldte “risikobegraensende foranstaltninger” samt følge en raekke skaerpede cybersikkerhedskrav, mens der samtidig indføres tilsyn, klaekkelige bøder og topledelsesansvar, hvis reglerne ikke følges.
Bøder på 10 mio. euro
Det traekker således op til risiko for bøder ligesom dem, erhvervslivet kender fra GDPR. Denne gang er der tale om op til 2 pct. af den årlige globale omsaetning eller op til 10 mio. euro.
»Hvis man er omfattet af de nye regler, skal man sikre sig, at man har styr på it-sikkerheden. Det betyder, at man skal have en it-sikkerhedspolitik og en plan for, hvad man gør, hvis der sker noget og generelt have styr på en masse dokumentation,« forklarer adjunkten, der forventer markant travlhed blandt virksomhederne.
Det nye direktiv afløser således de nuvaerende regler fra 2016, og opdateringen tilskrives den stigende digitalisering, der på den ene side har bundet samfundet mere sammen og skabt store gevinster for både civilsamfund og erhvervsliv, men på den anden side i stigende grad eksponerer alle unionens medlemslande mod cyberangreb fra fjendtlige stater og kriminelle grupperinger.
Kigger man i dokumenterne fra EU-Kommissionen, forventes det, at de nye regler kommer til at betyde, at virksomheder, der ikke tidligere har fulgt NIS-reglerne skal øge deres investeringer i cybersikkerhed med mere end 20 pct., mens de virksomheder, der i forvejen følger reglerne skal poste 12 pct. flere penge i digital sikkerhed.
Det tal er dog sat ret konservativt, vurderer Jan Lemnitzer, der peger på, at behovet for investeringer kan øge risikoen for massive rekrutteringsudfordringer.
»Realistisk set vil ikke alle virksomheder, der bliver omfattet af reglerne, vaere i stand til at hyre de folk, de skal bruge for at implementere de her regler,« siger han og uddyber:
»Problemet er, at man ikke bare skal bruge folk med itkompetencer. Man skal bruge folk, der også ved noget om regulering. Det er ikke sådan, at enhver it-medarbejder kan blive it-sikkerhedsdirektør og rapportere til bestyrelsen om strategiske emner. Den slags folk er enormt sjaeldne, og nu kommer reglerne til at diktere, at alle skal have sådan en.«
Stålsatte europaeere
En stribe EU-spidser har i en pressemeddelelse udtrykt tilfredshed med de nye regler. Her priser eksempelvis Margaritis Schinas, der er naestformand med ansvar for fremme af vores europaeiske levevis, EU’s »vilje til stålsat beredskab og modstandsdygtighed over for cybertrusler, som er rettet mod vores økonomier, vores demokratier og mod freden«.
Men på trods af at det er de store perspektiver, der fokuseres på politisk i Bruxelles, er en helt anden udfordring på vej til at gøre sit indtog på dansk erhvervslivs dosmerseddel. Jan Lemnitzer fortaeller, at han allerede har set dollartegn i øjnene på diverse konsulenthuse, og hos Dansk Erhverv frygter man, at på trods af en europaeisk stålsat vilje til beredskab bliver den reelle udfordring i langt højere grad et spørgsmål om mandskab.
»Der er bare nogle virksomheder, der godt kan hyre specialister i biokemi, men har svaert ved at få en itspecialist. Hvis man er en mellemstor logistikvirksomhed, der ligger langt fra, hvor it-specialisterne bliver uddannet, så bliver det bestemt heller ikke lettere,« siger Poul Noer, der er fagchef i Dansk Erhverv uddyber:
»Vi så med GDPR, at markedet var og er glødende for specialister. De kan ofte vaere vanskelige og ganske dyre at rekruttere. Så det er en reel problemstilling. Der er ingen tvivl om, at det her vil øge presset på det marked.«
Han peger på, at stramningen af reglerne er nødvendig, men kalder samtidig på behovet for langt flere tilgaengelige it-kompetencer, hvis erhvervslivet skal styre uden om de udfordringer, der kan vaere ved at leve op til reglerne.
Jeg tror, at mange vil forsøge at ignorere det her så laenge som muligt. JAN LEMNITZER, ADJUNKT PÅ CBS
Panik før lukketid
Om det bliver muligt at uddanne folk nok til at maette behovet, der altså kun vil stige i de kommende knap to år, virker usandsynligt. Derfor traekker det ligesom ved indførslen af GDPR endnu engang op til compliancepanik før lukketid i erhvervslivet, vurderer Jan Lemnitzer.
»Jeg tror, at mange vil forsøge at ignorere det her så laenge som muligt, fordi på trods af, at reglerne bliver vedtaget i EU, så ved man stadig ikke, hvordan de kommer til at udforme sig som dansk lovgivning. Det giver en staerk motivation til at vente. Problemet med at vente er, at kort før skaeringsdatoen vil alle konkurrere om de samme medarbejdere og konsulenter. Men det tror jeg desvaerre kommer til at ske.«