Seneste den 18. oktober i år skal NIS2-direktivet skal være implementeret i Danmark. Til den tid skal danske virksomheder, der varetager såkaldte samfundskritiske opgaver, kunne dokumentere, at de lever op til en række omfattende cybersikkerhedskrav. Og der er langt flere virksomheder, der falder under NIS2, end de fleste tror.
Blandt de direkte berørte er dele af kemikaliebranchen. Det er fx virksomheder, der arbejder med fremstilling og distribution af kemikalier.
Dog er det ikke alle indenfor disse områder, som kommer med. Virksomhederne skal fx have mere end 50 ansatte og en omsætning på mere end 75 mio. kr.
Umiddelbart vil omkring 1.400 virksomheder berørt direkte, men langt flere vil blive berørt indirekte. For NIS2 stiller skærpede krav til cybersikkerheden i hele virksomhedens forsynings- og leverandørkæde. Dermed kommer underleverandørerne i spil.
Imidlertid frygter IT-branchen, at store dele af de berørte, måske især de indirekte, ikke er klar til den 18. oktober. En stor del af baggrunden skyldes, at lovgivningen ikke er på plads.
– Myndighederne har sovet i timen og undervurderet omfanget og kompleksiteten af NIS2. Over tusinde danske virksomheder skal snart leve op til en lang række omfattende sikkerhedskrav. Men de har ikke mange chancer for at nå i mål, når myndighederne igen udsætter afklaringen af, hvem der er omfattet, og hvordan reglerne skal implementeres i Danmark, siger Jacob Herbst, CTO i Dubex A/S og forperson for IT-Branchens Policy Board for Cybersikkerhed.
– Med forsinkelsen frygter vi, at der bliver endnu kortere mellem, at vi lærer de nye krav at kende, og til at virksomhederne skal leve op til dem. Det gør bestemt ikke NIS2-arbejdet i virksomheden lettere, og vi risikerer, at omkostningerne stiger kraftigt, da mange virksomheder nu skal hasteimplementere loven, påpeger Jacob Herbst.
EU-Kommissionen har estimeret, at virksomheder pga. NIS2 fremover skal investere 22 procent mere i it-sikkerhed, end de gør i dag. I Danmark mener analysehuset IDC, at de danske virksomheder i gennemsnit kan forvente en udgiftsstigning på 10 procent om året frem mod 2025 alene på it-sikkerhed. Det svarer til en samlet øget udgift på 2,5 mia. kr. Et tal der nu risikerer at blive større.
Mange virksomheder er stadig uvidende om, hvad de skal leve op til, og endnu færre af deres underleverandører ved, at nye krav også snart rammer dem.
Kilde: IT-branchen