NIS2 er på trapperne: Dét bør du holde øje med

Selvom mange nok vil mene, at man har rigeligt med compliance-opgaver på skrivebordet, kan europæiske organisationer se frem til at skulle overholde endnu flere lovkrav.

NIS2 er nemlig på vej, og lige nu er EU-Parlamentet ved at kigge på udkastet til lovteksten, som Europarådet fremlagde i november. 

Ifølge Morten Løkkegaard, medlem af Parlamentet for partiet Venstre, kan NIS2 allerede være stemt igennem midt i maj, fortalte han til ComplianceTechs søstermedie, Version2, i fredags. Og så begynder kravene til it-sikkerhed at brede sig til endnu flere sektorer.

Lige siden EU-Kommissionen fremlagde det første udkast, har det nemlig stået klart, at en af de primære forskelle mellem NIS1 og NIS2 er, at sidstnævnte kommer til at omfatte flere sektorer, som EU anser for at have ansvaret for samfundskritisk infrastruktur.

Der er blandt andet tale om virksomheder, der arbejder med fødevareproduktion, affaldshåndtering og spildevandshåndtering. Men i Kommissionens udkast var det svært at gennemskue, om eksempelvis kommuner og regioner også skal omfattes af loven, fortæller Emil Bisgaard, erhvervsjuridisk rådgiver og partner hos Poul Schmith/Kammeradvokaten.

I Rådets udkast er der lagt op til, at den beslutning skal tages på nationalt plan:

»Nu har man i EU taget stilling til, at man ikke tager stilling på direktivniveau. Nu står der i direktivet, at det skal besluttes på nationalt plan, om kommuner og regioner er omfattet af NIS,« siger han.

Selvom politikerne i Danmark måske beslutter at undtage kommuner og regioner i kommende nationale bekendtgørelser, så slipper de ikke helt, understreger Emil Bisgaard. Måske er nogle af de kommunale eller regionale ansvarsområder nemlig underlagt NIS2.

Krav til bestemte aktiviteter

Selvom en hel region eller kommune måske ikke direkte bliver omfattet af lovkravet, kan reglerne alligevel gøre sig gældende for dele af organisationerne, understreger Emil Bisgaard:

»Der er det bare enormt vigtigt at være opmærksom på det her som kommune eller region. Der er stadigvæk en masse aktiviteter, der er omfattet af NIS2, hvor sundhedsydelser er den helt store ting.«

»Hvis du som kommune har fået en opgave inden for sundhed, fordi det er besluttet, at eksempelvis ældrepleje og fysioterapi skal ligge hos kommunen og ikke i regionen, så kan du godt som kommune alligevel være omfattet på det område,« forklarer han.

Selvom offentlige virksomheder skal være opmærksomme på, om deres aktiviteter bliver omfattet af NIS2, kan Emil Bisgaard endnu ikke gennemskue, hvordan de i praksis skal afgøre, hvorvidt de er underlagt it-sikkerhedskravene:

»Det er lidt uklart for mig, hvordan man vil måle det. Man måler organisationer, som er omfattet, på antal ansatte, omsætning og balance. Det ved jeg ikke helt, hvordan man vil gøre med sundhedstjenesteydelser for eksempel. Specielt for eksempelvis en kommune, der ikke nødvendigvis har en separat juridisk enhed, der beskæftiger sig med nogle sundhedsydelser.«

På trods af usikkerheden, regner han ikke med, at der kommer en afklaring på europæisk plan, for der er grænser for, hvor specifikt EU kan regulere, når medlemsstaterne er bygget op på forskellige måder. Danske organisationer må i stedet vente på de nationale bekendtgørelser.

Fanget mellem to bekendtgørelser

Imens offentlige virksomheder skal holde øje med, om de er omfattet af NIS2, ser det ud til, at compliance-udfordringerne også kan risikere at sprede sig til det private.

Da de danske politikere skulle lave en national implementering af NIS1, nedskrev man 15 bekendtgørelser, der alle er sektorspecifikke. Derfor har man eksempelvis en bekendtgørelse for oliesektoren, for el- og naturgassektoren, for vandforsyningssektoren, for søfartssektoren og sundhedssektoren.

NIS2 kommer til at omfatte endnu flere sektorer. Derfor er der lagt op til et hav af bekendtgørelser, hvis den nationale implementering skal fungere på samme måde, og så risikerer man, at én virksomhed kan være omfattet af to forskellige bekendtgørelser på samme tid.

»Der er sikkert nogen, der stadig kun vil være omfattet af én bekendtgørelse, men jeg tror også, der er nogen, der risikerer at være omfattet af to. De skal så efterleve det samme direktiv, men på forskellige måder, medmindre der findes en lovteknisk løsning på dette. Det kommer også an på, om man laver den præcis samme tekst i alle bekendtgørelserne. Men det har man ikke gjort i NIS1. Der var forskelle i sektorernes bekendtgørelser,« siger Emil Bisgaard.

Også tilsynsopgaven er spredt mellem forskellige myndigheder, og nu er der lagt op til, at man skal bruge endnu flere. Men når NIS2 favner så bredt, skal der også findes flere it-specialister, vurderer han, og de hænger ikke ligefrem på træerne.

»Jeg ved ikke, hvor alle de cyber-specialister skal komme fra,« siger han og fortsætter:

»Nu skal alle EUs medlemslande implementere NIS2 og føre tilsyn med efterlevelsen af NIS2. Så alle de omfattede enheder skal have nogle folk ansat, der kan løse opgaven, og medlemsstaterne skal have nogle folk ansat, der kan føre tilsyn med, at opgaverne bliver løst. Og det ved jeg ikke helt, hvordan man vil gøre. Det er et af de største strategiske problemer med det her, for hvordan løser man det med den tid, der er til rådighed?«

Der er stadig lidt tid at løbe på, for EU-Parlamentet er endnu ikke blevet enige om den nye NIS-lovgivning. Men hvis man som organisation ikke allerede er begyndt at reflektere over de kommende krav, skal man i gang, understreger Emil Bisgaard.

Ellers kan man risikere at sidde med store udfordringer, når startskuddet for NIS2-kravene lyder i Danmark.

Hvis du kunne tænke dig at høre Emil Bisgaard fortælle om NIS2 live, så kom forbi V2 Security-konferencen i morgen. Han træder op på messens største scene klokken 11.30.

V2 SECURITY

Version2 byder endnu engang it-ansvarlige og -specialister velkommen til to spændende dage i København med 100 seminarer og mere end 3.000 deltagere, der mødes for at blive opdateret på den nyeste viden om it-sikkerhed, cloudløsninger og compliance.

TILMELD DIG HER