NIS2-direktivet skal styrke forsvaret mod cybertrusler
Danmarks høje digitaliseringsniveau gør vores kritiske infrastruktur særligt udsat. Derfor kan styrkelsen af cybersikkerheden gennem implementering af NIS2 få stor betydning.
Jesper WithFor forsyningsselskaberne vil det betyde en ændret måde at arbejde på. Der placeres bl.a. et større ansvar hos ledelse og bestyrelse for at sikre, at virksomheden lever op til kravene. I sidste ende kan det ende med bødestraf.
Med de sikkerhedsbrud, der har været i flere sektorer, er det tydeligt, at NIS ikke har virket som ønsket. Der har derfor været behov for en lovgivning, der indebærer skrappere og bredere krav, tættere overvågning af overholdelse af reglerne og effektive sanktioner.
Det forklarer Jens Grønkjær Pihl, der er jurist og partner i advokatfirmaet Horten. Han underviser bl.a. virksomheder og organisationer i, hvordan de skal håndtere og implementere NIS2. NIS2-direktivet har til formål at forbedre og styrke sikkerheden af netværks- og informationssystemer indenfor en lang række sektorer på tværs af EU.
Det skal sikre et højt, ensartet niveau af cyber- og informationssikkerhed, som medfører øgede krav til beskyttelse af data, og et markant større fokus på cybersikkerhed og informationssikkerhedsledelse. Det gælder også for vandsektoren.
Det oprindelige NIS-direktiv blev implementeret i dansk ret i maj 2018. Men det kunne ikke sikre et tilstrækkeligt højt sikkerhedsniveau mod de cybertrusler, som kritisk infrastruktur i EU står overfor. Det gælder ikke mindst efter Ruslands invasion af Ukraine, hvor der er set mange eksempler på, at russiske hackere angriber infrastruktur i lande, der støtter Ukraine.
Konkret risikovurdering
I NIS2 indføres mindstekrav om udarbejdelse og implementering af politikker, processer, dokumentation og konkrete sikkerhedsforanstaltninger. Derfor skal selskaberne have styr på de krav, der skal honoreres og de sikkerhedsforanstaltninger, der konkret skal implementeres. Det skal ske på baggrund af en konkret risikovurdering af forsyningsvirksomheden.
”Man skal vurdere, om man er en væsentlig eller vigtig enhed indenfor én eller flere af de omfattede sektorer, som alle vedrører kritisk infrastruktur. På basis af det, skal man identificere de krav, man skal leve op til. De krav skal man så se i forhold til de konkrete risici, som man identificerer for sin virksomhed. Hvad er vigtigt for os at sikre os imod, så vi fortsat kan levere de ydelser, vi er sat i verden for - dvs. hvilke risici er relevante for os at imødegå for at sikre vores produktion? Når det er afdækket, skal man identificere, prioritere og implementere passende sikkerhedsforanstaltninger, der kan hindre eller tilstrækkeligt begrænse de enkelte risici,” siger Jens Grønkjær Pihl.
Han påpeger, at ledelsesforankring og et stærkt fokus på opgaven med implementering og løbende vedligeholdelse af cybersikkerhed er en afgørende forudsætning for, at det kan lykkes at sikre de store værdier, som vandsektoren administrerer. Arbejdet skal bygges ind i organisationen, så man sikrer, at man løbende, og som et naturligt led i virksomhedens drift, leverer cybersikkerhed i alle lag af organisationen - herunder opdaterer sikkerhedsprocedurer. Og det er ikke en engangsindsats.
Find samarbejdspartnere
Det tunge arbejde for forsyningsselskaberne er, at det kræver, at man implementerer en ny måde at arbejde på. Har man ikke arbejdet med compliance før, skal man vænne sig til ny arbejdsmåde. Han ser de største udfordringer for vandselskaberne i deres forskel i størrelse.
Der er mange små og mellemstore selskaber, og der er helt små vandværker med ingen eller et par medarbejdere. Det gør det svært at håndtere de compliancekrav, man skal leve op til, for man mangler simpelthen kompetencer og ressourcer.
”Min vurdering er, at de største selskaber allerede har arbejdet med NIS i en længere periode og har ret godt styr på det. Men mange relativt små eller mellemstore vandselskaber er ikke nået ret langt med implementeringen af NIS2,” siger Jens Grønkjær Pihl og fortsætter: ”Jeg vil råde dem til at komme i gang med at tale sammen med andre selskaber, der er på samme niveau og få taget hul på arbejdet. Det er min oplevelse, at det først er det seneste halve år, at vandselskaberne generelt er begyndt at kigge på det. Det skyldes formentlig delvist, at den nationale implementeringsfrist i oktober 2024 blev udskudt til 1. juli 2025, hvor reglerne nu vil gælde fra. Men NIS2 er trods alt kommet på agendaen hos langt de fleste selskaber nu.”
Derfor peger han på muligheden for at samarbejde med andre vandselskaber som en umiddelbar løsning – eventuelt gennem en interesseorganisation. Det er en god ide, at DANVA – som det er tilfældet - også er med til at løfte selskaberne via rådgivning og kurser, der kan klæde IT-ansvarlige og ledere bedre på. Ligesom medlemskab af SektorCert kan give god værdi.
Mangelfuldt billede
Han oplever, at mange selskaber har et mangelfuldt billede af NIS2 og hvad kravene indenærer. Det bliver ikke nemt at implementere NIS2, og kravene kan virke overvældende, men hvor svært det bliver afhænger jo af, hvor moden man er i forhold til sikkerhed, og hvordan ens risikobillede ser ud. Nogle tænker også, at det her ser dyrt ud. Men det handler om at komme i gang, så man får et realistisk billede af risikoen. Bliver man ikke klar 1. juli, kan både selskabet og ledelsen blive sanktioneret. Det kan se ved forskellige påbud, og man kan risikere bødestraf. Men det er i høj grad op til myndighederne at beslutte, hvordan man vil administrere reglerne. Vil man bruge sanktionering eller vejledning? NIS2 bliver en svær opgave for mange, så Jens Grønkjær Pihl vurderer, at mange vil have brug for – og få - hjælp til at implementere de nye cybersikkerhedskrav.
Sove roligt?
Hvis man følger anbefalinger fra Center for cybersikkerhed og SektorCert, kan man så sove roligt om natten som leder af et forsyningsselskab? ”Jeg er tilbageholdende med at sige, at hvis du overholder anbefalinger fra Center for Cybersikkerhed og SektorCert – som begge er meget kompetente – så overholder du NIS2. Man kan ikke sætte lighedstegn. Men jeg anbefaler klart at inddrage anbefalingerne i arbejdet med NIS2. Det kan også give mening at bruge D-mærket som pejling i forhold til, hvor man står i forhold til ens modenhed på cybersikkerhedsområdet og konkret i forhold til implementeringen af NIS2. Men en grøn lampe fra D-mærket betyder heller ikke, at du overholder NIS2. Jeg vil mene, at langt de fleste – måske alle – forsyningsselskaber har brug for ekstern hjælp og rådgivning,” siger Jens Grønkjær Pihl.
To direktiver på vej samtidigt
NIS2-LOVEN
NIS2-loven (Lov om foranstaltninger til sikring af højt cybersikkerhedsniveau) er fremsat i Folketinget i februar, og dermed er vejen snart banet for atNIS2-direktivet bliver implementeret i den danske vandsektor. Reglerne skal efter planen træde i kraft 1. juli 2025. Målet med EU-direktivet er at styrke IT-sikkerheden på tværs af medlemsstaterne i erkendelse af, at det første NIS direktiv fra 2018 ikke har virket efter hensigten.
CER-LOVEN
Også CER-loven (Lov om kritiske enheders modstandsdygtighed) er fremsat i Folketinget i februar. CER-direktivet (Critical Entities Resilience) skal sikre modstandsdygtighed i kritisk infrastruktur. Reglerne skal, som for NIS2, træde i kraft 1. juli 2025. Loven omfatter virksomheder, der leverer essentielle tjenester, fx. elforsyning, drikkevand, sundhed eller fødevarer og dermed spiller en afgørende rolle i at sikre og genoprette samfundets funktion under kritiske hændelser.
Kendte krav på nuværende tidspunkt betyder, at man skal:
- Identificere trusler og udarbejde risikovurderinger
- Forhindre hændelser, inkl. katastrofereduktions- og klimatilpasningsforanstaltninger
- Øge organisationens bevidsthed gennem uddannelse og øvelser
- Udarbejde en resiliensplan
- Udpege en forbindelsesofficer
- Sikre fysisk beskyttelse af lokaler og infrastruktur
- Implementere risiko- og krisestyringsprocedurer samt varslingsrutiner
- Sikre genopretning via kontinuitetsforanstaltninger og alternative forsyningskæder
- Sikre medarbejdersikkerhed gennem adgangsrettigheder, baggrundskontrol og uddannelseskrav
Nye minimumskrav
NIS2 erstatter NIS for at sikre yderligere harmonisering på tværs af medlemsstater gennem mere detaljeret regulering og ved at indføre syv minimumskrav til:
- politikker for risikoanalyse og informationssystemsikkerhed
- håndtering af hændelser (forebyggelse, opdagelse og reaktion på hændelser)
- driftskontinuitet og krisestyring
- sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
- politikker og procedurer (test og revision) til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici.
- brug af kryptografi og kryptering
- forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forbindelserne mellem den enkelte enhed og dens leverandører eller tjenesteydere såsom leverandører af datalagrings- og databehandlingstjenester eller forvaltede sikkerhedstjenester.
