Om mindre end 14 dage, den 1. oktober, er det skæringsdatoen for, hvornår alle, der er omfattet af NI2 skal være registreret. Allerede nu står det klart, at både nogle virksomheder og kommuner er dårligt forberedte.
– Nogle virksomheder gambler allerede med, at tilsynsmyndighederne ikke er klar. De overholder ikke reglerne. Reglerne findes, men så længe de ikke håndhæves konsekvent, vil virksomheder og kommuner udskyde at leve op til dem. Og det gør os sårbare.
Det siger Jan Lemnitzer, adjunkt ved Copenhagen Business School, hvor han forsker i europæisk cybersikkerhedspolitik og blandt andet rådgiver om implementeringen af EU’s NIS2-direktiv.
– Vi står over for den største cybertrussel nogensinde, men vi er ikke klar. Truslerne kommer både fra kriminelle ransomware-grupper, der afpresser virksomheder, og fra fjendtlige statsaktører.
NIS2 udvider definitionen af kritisk infrastruktur. Det er ikke længere kun store banker og energiselskaber, der skal kunne dokumentere, at de håndterer cyberrisici.
Nu er også kommuner, busselskaber, spildevandsanlæg og mange mellemstore virksomheder med over 50 ansatte omfattet af direktivet.
At kommunerne er med giver god mening, vurderer Jan Lemnitzer. De ligger inde med enorme mængder persondata og leverer vitale ydelser i et digitaliseret samfund. Men de er samtidig blandt de dårligst forberedte på at forsvare sig.
– Kommunerne er nu klassificeret som kritisk infrastruktur, og det giver mening, fordi de rummer så mange følsomme data og driver essentielle tjenester. Men deres cyberforsvar er svagt. De har hverken ekspertisen eller budgetterne. De kan ikke tiltrække topeksperter, og politisk ville det være meget upopulært at tage penge fra børnehaver for at betale for DDoS-beskyttelse, siger han.
Ministeriet for Samfundssikkerhed og Beredskab har hovedansvaret, men håndhævelsen af NIS2-direktivet bliver fordelt på ti forskellige myndigheder indenfor ti forskellige sektorer.
Tanken er, at hver myndighed skal kontrollere, om organisationer i deres sektor håndterer cyberrisici korrekt. Men i praksis mangler de fleste kompetencerne til det, vurderer Jan Lemnitzer.
Ifølge ham vil denne opdeling og mangel på ekspertise betyde, at håndhævelsen sandsynligvis bliver langsom og inkonsekvent. Og så længe reglerne ikke håndhæves, vil mange virksomheder og kommuner udskyde investeringer i overholdelse.
Kilde: Copenhagen Business School
