NIS2 får stor effekt på dansk erhvervsliv

Sammenlignet med det første NIS-direktiv er en af de mest markante ændringer sanktioner mod personer i ledelsen hos virksomheder, der ikke lever op til direktivets krav. Det betyder, at topledere i virksomheder, der ikke lever op til direktivets krav kan stilles direkte til ansvar. Derudover er der et krav om ledelsesforankring af cybersikkerhedsarbejdet, hvilket blandt andet indebærer, at ledelsen skal være bekendte med både direktivets krav og den risikostyring, virksomheden har implementeret.

Læs også: Cybersikkerhed giver konkurrencedygtighed

Rigtig mange danske virksomheder står overfor at skulle investere tid og ressourcer for at kunne leve op til kravene. Det gælder både for de samfundskritiske virksomheder, som også var omfattet af NIS1, fordi der er en række nye krav, de skal leve op til, og det gælder for en række sektorer, som hidtil ikke har været vant til at skulle stå til ansvar overfor myndigheder, når det gælder cybersikkerhed. Til gengæld vil virksomhederne, hvis direktivet får den ønskede effekt, være langt bedre rustet til at modstå digitale trusler og it-kriminalitet, ligesom vi på tværs af EU bliver mere modstandsdygtige overfor cyberangreb. 

Får stor effekt
Implementeringen af direktivet får altså stor effekt på dansk erhvervsliv, og derfor er ensartet implementering noget, som bør tilstræbes så vidt muligt både på tværs af sektorer og på tværs af EU-landene. For en virksomhed, der for eksempel både leverer strøm og internet til forbrugere, vil det være helt afgørende, at der ikke føres tilsyn fra to forskellige myndigheder, og at lovgivningen er harmoniseret på tværs af sektorer. Det samme gælder for virksomheder, der sælger deres varer og tjenester i flere EU-lande, og derfor er det helt afgørende, at lovgivningsarbejdet harmoniseres. Det kræver blandt andet implementeringsvejledninger fra de europæiske myndigheder, så medlemslandene ikke tolker lovteksten så forskelligt, at virksomheder skal leve op til vidt forskellige krav i de forskellige lande. I Danmark kræver det, at en kompetent myndighed sætter sig for bordenden af den danske implementering, så den danske implementering harmoniseres mest muligt.

Krav om leverandørsikkerhed
Et af de største hovedbrud bliver kravet om leverandørsikkerhed. Det betyder helt kort, at de omfattede virksomheder skal sikre, at deres vigtige leverandører – for eksempel it-leverandører – også lever op til direktivets krav. Dansk Erhverv mener, der bør være stor opmærksomhed om dette punkt. Vi risikerer både, at det bliver meget dyrt og ikke får den ønskede effekt, hvis hver enkelt virksomhed selv skal opfinde processer for at identificere kritiske leverandører og finde ud af, hvordan man som kunde sikrer, at ens leverandører lever op til de forskellige krav.  

Løbende dialog
Dansk Erhverv har fulgt arbejdet nøje og har en løbende dialog med relevante myndigheder og deltager derudover i et projekt af Industriens Fond, som skal kortlægge nøjagtigt, hvilke danske virksomheder, der vil være omfattet, når NIS2-direktivet træder i kraft. Derudover planlægges en række informationsmøder og webinarer for de berørte virksomheder, hvor førende eksperter kommer med gode råd til, hvordan virksomheder kommer i gang med implementeringen af direktivets krav. På papiret er der lang tid til sommeren 2024, hvor fristen for implementering forventes af ligge, men det kan kræve relativt store forandringer og allokering af ressourcer. Derfor er Dansk Erhvervs anbefaling hellere at komme i gang før end senere.

- PiB