Juristen: Personligt ledelsesansvar og minimumskrav til cybersikkerhed er et nybrud
Globeteams artikelserie om NIS2-implementering og NIS2-compliance anlægger forskellige perspektiver på det nyeste sikkerhedsdirektiv fra EU. I denne artikel stiller Jesper Løffler Nielsen, advokat og associeret partner i Focus Advokater, skarpt på NIS2 fra en juridisk vinkel.
Hvad er den største forretningsmæssige gevinst i arbejdet med NIS2?
“I forhold til GDPR, som mere føltes som noget, der blev trukket ned over virksomhederne, uden de havde den helt store forståelse for hvorfor, tror jeg, NIS2 bliver en anden oplevelse. Det er ikke svært at overbevise en ledelse om værdien af NIS2, fordi det rent forretningsmæssigt er relevant at have en struktureret tilgang til cybersikkerhed, og det er præcis, hvad NIS2 kommer til at indføre.”
“Lidt mere lavpraktisk har NIS2 også den fordel, at det bliver mere konkret, hvad man skal gøre for at arbejde mere struktureret med cybersikkerhed. Direktivet oplister en række minimumskrav, som skal være opfyldt – bl.a. omkring ledelsesforankring, risikovurderinger, sikkerhedspolitikker, leverandørstyring, kontroller og awareness-træning. Det fungerer lidt ligesom en tjekliste, man kan gå frem efter.”
“Endelig forudser jeg også en trickle-down-effekt som følge af NIS2-direktivet. For det kan godt være, at du som virksomhed eller organisation som udgangspunkt ikke er omfattet af NIS2, men hvis du eksempelvis leverer services eller ydelser til en omfattet virksomhed, så er de kontraktmæssigt forpligtiget til at have styr på deres underleverandører. Så jeg tror, at NIS2 kommer til at højne sikkerhedsniveauet generelt, fordi direktivet får en afsmittende effekt hele vejen gennem kontraktkæden.”
Hvad er de største udfordringer i forhold til at blive NIS2-parat inden efteråret 2024?
“Den første er manglen på kompetencer indenfor cybersikkerhed. I Danmark har vi ikke den store tradition for at uddanne cybersikkerhedseksperter, og det vil sige, at de fleste er autodidakte. Vi kommer simpelthen til at mangle hænder. Den anden udfordring er, at jeg kan frygte, at mange organisationer kommer til at lave NIS2 i et vakuum, hvor politikker, processer og dokumenter kører parallelt med eksempelvis GDPR-arbejdet. Man skal få de to governance-modeller til arbejde sammen, så man ikke udfører opgaverne i siloer, der måske endda konflikter med hinanden. Jeg har selv været med til at udbyde et fag på It-vest, hvor vi netop tænkte cybersikkerhed og databeskyttelse sammen. Den disciplin kommer vi til at se mere af i de kommende år.”
Hvordan anbefaler du, at virksomheder tager hul på arbejdet med NIS2?
“Jeg har løbende dialoger med organisationer, hvor vi indledningsvis får afklaret, om de er direkte omfattet af NIS2 eller ej. Det er selvfølgelig et godt og oplagt sted at begynde. Dernæst vil jeg anbefale, at man kigger på, hvilke dele af forretningen og hvilke it-systemer, der er omfattet af NIS2-scopet, og hvilke der ikke er. Det er kun de it-systemer, der har direkte betydning for tjenesters tilgængelighed, der er interessant i et NIS2-perspektiv, mens en organisations faktureringssystem eksempelvis ligger udenfor scope.”
Hvilke kompetencer har man brug for internt og eksternt for at komme i mål med NIS2?
“Ligesom al anden lovgivning fra EU kræver NIS2 ikke kun cybersikkerhedskompetencer – det har også berøring med jura, it-udvikling og compliance. Nogle gange kan man være heldig at møde en person, der kan det hele. Men specielt i større organisationer er de fire opgaver delt ud på flere forskellige fagområder, personer og kompetencer. Så afhængig af, hvilken organisation man sidder i, kan der være behov for at supplere på ét eller flere af de områder. Noget kan man måske løse internt ved hjælp af rekruttering og omskoling, andet må man købe sig til eksternt.”
Hvilke nye, juridiske krav stiller NIS2 til de organisationer, der er omfattet af lovgivningen?
“Noget af det, der springer i øjnene, er de skærpede krav til ledelsen. De får nu et direkte ledelsesansvar for cybersikkerhed og kan stilles personligt ansvarlige for manglende compliance. Det er nyt. Ellers kan man sige, at den store forskel fra NIS1 til NIS2 er, at det ikke længere er op til fortolkning, hvornår man har implementeret nok sikkerhed. NIS1 var en omgang elastik i metermål, fordi det var op til den enkelte organisation at foretage passende sikkerhedsforanstaltninger. Med NIS2 er der en række minimumskrav, man skal leve op til, og så er der valgfrihed på toppen af de krav til at foretage yderligere tiltag. Det betyder kort sagt, at man er juridisk forpligtiget til at gøre mere.”
Du kan læse mere om Globeteams artikelserie her.
Husk at tilmelde dig vores NIS2-nyhedsbrev. Så er du sikker på at modtage alle artikler i serien, helt automatisk.
Om Jesper Løffler Nielsen
Jesper Løffler Nielsen beskæftiger sig med teknologi og jura. Han er specialiseret i it-ret, tech og GDPR. Han har en ph.d. i it-ret, er certificeret it-advokat samt ekstern lektor i bl.a. it-ret, persondataret samt regulering af cybersikkerhed på Master IT-uddannelsen. Han er leder af Focus Advokaters Tech Team og yder rådgivning om udarbejdelse af it- og cloudkontrakter, persondata, cybersikkerhed samt diverse former for nye teknologier såsom cloud, IoT, Big Data, AI, robotter, droner m.m.
Tilmeld dig NIS2-nyhedsbrev her
Vil du være sikker på at modtage alle artikler i NIS2-artikelserien, så husk at tilmelde dig vores NIS2-nyhedsbrev, som er målrettet personer, der arbejder med compliance og i særdeleshed NIS2.
