Selv om din virksomhed ikke bliver direkte reguleret af det nye NIS2-direktiv fra EU, så er du måske underleverandør til en virksomhed, der er underlagt NIS2, og så vil du også skulle leve op til en række krav.
NIS2 er et EU-direktiv, der stiller skærpede krav til tjenester, som er kritiske i vores samfund. De nye lovkrav træder i kraft 18. oktober 2024.
Det handler om cybersikkerhed, datasikkerhed, og der kommer også krav om tilsyn og rapportering.
Og det er værd at bemærke, at ledelsen af virksomheden bliver personligt ansvarlige for at reglerne overholdes. Så ledelsen kan sanktioneres personligt, hvis de ikke sørger for at virksomheden holder reglerne.
Det vil kun være de største virksomheder i Danmark, der vil være direkte omfattet af lovgivningen. Men hvordan kan det så være, at det kommer til at berøre helt almindelige små og mellemstore virksomheder i Danmark?
Alle de virksomheder, som er omfattet af NIS2, de har naturligvis en masse underleverandører, og de strengere sikkerhedskrav vil flyde ned til alle underleverandører. Du skal overveje, om du er underleverandør til virksomheder, der vil stille denne type krav til din virksomhed.
Hvis man skal være godt forberedt, så er der mange aktiviteter, der skal igangsættes. Noget handler om din ERP-løsning – men meget handler om alle dine IT-systemer generelt.
Man skal have overblik over alle digitale systemer, som er driftkritiske, og sikkerheden i dem, og man skal kunne levere dokumentation til en tilsynsmyndighed. Man skal udarbejde en risikoprofil over de største potentielle udefrakommende trusler, og konsekvenserne hvis de trusler realiseres. Og man skal have en beredskabsplan for et driftsnedbrud, og den skal være indøvet og testet lige så godt som brandøvelsen.
Som Kenneth nævner i videoen, så er et godt sted at begynde måske IT-branchens NIS2-univers lige her.
Hvad er ESG-rapportering - og hvad skal du gøre?
Hvad er ESG? Hvorfor er det også relevant for små og mellemstore virksomheder? Og hvilken rolle spiller ERP-systemet?
Hør hvorfor NIS2 har effekt på mange virksomheder
Selv om din virksomhed ikke bliver direkte reguleret af det nye NIS2-direktiv fra EU, så skal du sikkert også leve op til en række krav.
Fremtidens roller i Økonomiafdelingen
“Jeg har selv siddet i økonomi, hvor folk var nervøse for at miste deres job. Det gør de ikke. Det bliver bare lidt anderledes.”
Brug Power Platform til at udvikle i Business Central
Hør hvorfor du har en IT-strategisk fordel ved at anvende Power Platform til at tilrette din Business Central
Microsoft tager ansvaret din brug af AI
Microsoft tager ansvaret for eventuelle copyright-problemer med Copilot AI. Dette er vigtigt for virksomheders anvendelse af AI.
Hvor klog er AI i Business Central?
I første omgang giver Microsoft AI-værktøjer til partnerne, så man kan bygge smarte løsninger, men hvad kan AI i Business Central egentlig i dag?
Sådan bliver du klar til den nye bogføringslov
Den nye bogføringslov stiller krav til dit ERP. Vi taler med Mette Kessel, som fortæller om den nye lov. Hør hvordan du bliver klar.
Her kan du læse, hvad Kenneth fortæller i interviewet
Jeg har fået Kenneth Kryger Gram i studiet i dag, og det er fordi, vi skal tale om NIS2. Og NIS2, det bliver jo forlængelsen af NIS 1. Og hvis du overhovedet ikke ved, hvad jeg taler om, så skal du følge med nu, fordi det kan godt have noget med dig at gøre, selvom man også er en lille virksomhed. Og Kenneth, lad os lige starte med at finde ud af først NIS 1 og NIS 2. Hvad er NIS overhovedet for noget?
Jamen, NIS er en forkortelse af Netværks- og Informations-Sikkerhedsdirektivet. Så helt overordnet går det ud på at øge datasikkerheden i EU.
Okay, så det er noget med, at EU bestemmer, at vi skal være sikre på, at vi ikke bliver hacket og sådan nogle ting og sager. Er det sådan den vej rundt?
Ja, man går ind og ser på, hvad er kritisk infrastruktur og definerer det, hvor man i den første af NIS 1, så dækkede det cirka 50 virksomheder i Danmark, der var berørt direkte af det. Og i det nye direktiv forventer man cirka 1.400 virksomheder, der vil være direkte berørt.
Okay, så det er bestemte virksomheder i NIS1. Det findes allerede, og det er kun 50 virksomheder. Hvad er de defineret af i dag?
Jamen, det er igen kritisk infrastruktur, så det er elværker, eller netværksleverandører, der har store knudepunkter. Så noget, man betragter som kritisk for Danmark.
Og hvad kunne sådan et krav være af det, der eksisterer i dag?
Jamen, det der ligger i dag, det er jo nogle planer omkring, hvordan man, altså man skal have nogle planer for, hvordan man sikrer sig mod, at man lider datatab, altså at man bliver hacket eller andet. Så det er sådan en fokus, eller et forsøg på at ensrate reglerne for, hvordan man på tværs af EU egentlig skal forholde sig til det her. Hvordan dokumenterer man, at man i virkeligheden har styr på sin datasikkerhed.
Okay, så hele internettet ikke går ned, og det hele går at lave og sådan noget? Ja, at vi ikke kan få strøm, eller hvad der nu ellers kunne være betragtet som kritisk infrastruktur. Okay, og det er det, som vi har nu, siger du. Og så NIS2, det er så yderligere 1.400 virksomheder, regner man med, som bliver påvirket af det, og det er en udvidelse fra NIS1 til flere krav, eller til hvordan?
Ja, så man øger helt klart kravene, og det omfatter så også flere forskellige industrier. Og når jeg nu siger, at de 1.400 virksomheder, som bliver direkte berørt, så er det jo dem, man forventer, der opfylder kriterierne.
Så man skal, for det første, så skal man være mere end 50 ansatte, man skal omsætte for mere end 10.000 euro om året, og så skal man være inden for bestemte industrier. Men det er jo kun dem, der bliver berørt direkte.
Så kommer der jo alle de underleverandører, som på en eller anden måde leverer ind til nogle af de her virksomheder, som er direkte berørt, jamen de vil så indirekte blive berørt.
Okay, så man kan godt være en lille virksomhed med fem medarbejdere, som faktisk bliver berørt af NIS 2-direktivet?
Ja, så forventningen er, at hvis man er en virksomhed, der er direkte berørt af det her, så vil man også stille krav til sine underleverandører. Og der går man så ikke ind og ser på alle de her kriterier, fordi man vil sikre hele sin værdikæde, eller sin supply chain, at man også har sikret på data. Eller at man har styr på datasikkerheden.
Og hvad er nogle af de nye krav, der så er til NIS 2? Kan man sige noget af det? Det er jo EU, der sidder lige nu og forventer at beslutte det her, som jeg forstår det, i efteråret på et eller andet tidspunkt. Og så siger du, at så vil det rulle ud i Danmark i løbet af nogle måneder senere, eller hvornår er det?
Ja, altså lige nu er planen, at man i oktober 2024, der bliver EU-lovgivningen gældende. Og så derefter skal vi jo lave de nationale implementeringer.
Og her i starten af februar 2024, der kom Forsvarsministeriet ud, og fortalte, at de nu forventer, at de bliver to måneder forsinket, i forhold til den deadline, der er for, hvornår man skulle lave den nationale implementering.
Så lige nu, der kigger vi hen imod noget, der hedder Ultimo 2024. Så der regner vi med, at der skal være implementeret de 1.400 virksomheder, og alle dem, der påvirker, eller underleverandører til dem.
Og kan du nogle eksempler på, hvad nogle af de nye krav er? Eller er det bare…
Jamen, der er rigtig meget af de nye krav. Det er jo også noget omkring sanktioner. Så ud over det, vi kender lidt fra persondaterbeskyttelsen, at man øger mulighederne for, hvor store bøderne er, så kan man også blive frakendt retten til at drive virksomheden. Så man pålægger i højere grad ledelsen af nogle af de her virksomheder, langt større krav og langt større ansvar.
Så det er ret omfattende, hvis man lige pludselig kan blive sat i en situation, hvor man egentlig kan blive frakendt retten til at drive virksomheden.
Okay. Og hvad er det så konkret, man skal gøre? Altså en virksomhed, som tænker, at nu skal jeg gøre det her, som står. Hvad skal jeg… Jeg kan få tæsk, hvis jeg ikke gør det rigtigt. Så vil du lige fortælle, hvad skal jeg så gøre rigtigt?
Jamen, man skal kunne dokumentere, at man har styr på sin datasikkerhed. Så det er jo sådan nogle… Hvad er det for nogle beredskabsplaner, man har? Hvordan dokumenterer man, at man øver de beredskabsplaner?
Man skal simpelthen vise, om man kan… Altså nærmest som en brandøvelse eller noget andet, man skal illustrere, at man har styr på… Ikke kun, hvad har man gjort upfront, datasikkerhedsmæssigt, men man kan sige et hackerangreb eller noget andet, som gør, at man nu lider datatab. Hvordan forholder man sig så? Hvordan informerer man de berørte kunder og så videre?
Jeg har sådan et billede af nu, hvor brandalarmen går, og alle medarbejdere står ude i gården og venter på, at det får lov at gå ind igen.
Jamen, man kender det jo formentlig, for alle virksomheder bør jo øve, for eksempel det, der hedder disaster recovery-procedurer. Det er de færreste, der gør det. Og det finder de så ud af på den hårde måde den dag, at de har en disaster af den ene eller den anden slags.
Og det kan jo bare være vandskade eller brand eller andet, der lige pludselig beskader de data, man har. Så det, man bør gøre, selvom man tager backup og alt muligt andet, det er faktisk også at øve det her. Kan jeg reetablere mine systemer? Hvor lang tid tager det? Så jeg ligesom også har en fornemmelse af, hvad vil det betyde af nedetid? Og hvad er vurderingen så i forhold til, hvem vil det påvirke? Hvad vil det koste i forhold til tid og penge og sådan nogle ting?
Så er der også noget med, at man skal skrive en risikoprofil, eller hvordan?
Ja, man har lavet en skabalon. Der er en masse vejledning, der selvfølgelig begynder at komme mere og mere efterhånden, som vi har et billede af, hvad det er for, hvordan vi forventer, den nationale implementering, den kommer til at blive.
Så begynder der også at komme nogle checklister for, hvordan går man ind og dokumenterer, man har identificeret, hvad er ens kritisk data? Hvordan forholder man sig til det? Hvordan beskytter man den? Men også lidt omkring, man med, man kan sige, som vi som IT-leverandør, hvordan har vi sikret os mod nogle af de her virksomheder? Jamen så har vi ligesom en klassifikation og en dokumentation på, at vi har været igennem at vurdere de her ting, og samtidig tale med kunderne også og sikre, at vi er enige om de fælles planer. Så det er jo ikke altid, det kun berører dig selv i din egen virksomhed. Du skal også se lidt på, hvad det er for nogle leverandører, du har.
Og nu er vi jo eksempelvis en virksomhed, der leverer IT for andre kunder. Så hvad gør vi for at gøre det her smartere?
Nu har vi valgt at læne os op af et online univers, det vil sige, at vi flytter alle vores kunder i nogle cloud-miljøer. Så man kan sige, både for kunden og for vores vedkommende, så begynder vi lige pludselig at lægge en stor del af ansvaret over på Microsoft.
De har selvfølgelig en helt anden muskel i forhold til at finde ud af, hvordan skal de drive det her, hvordan skal de sikre det her. Og det ville jeg personligt, hvis jeg drev en virksomhed, der enten var direkte eller indirekte berørt af det her, jamen der ville jeg have det væsentligt bedre ved, at det var store spillere som Microsoft med deres setup, som kan gå ind og sikre data.
Det fritager dig dog ikke fra ansvaret, du skal stadigvæk have ind og lave de her vurderinger eller noget andet, men man kan sige, at nogle af de tekniske foranstaltninger, jamen de vil være væsentligt bedre på plads.
Okay, så hvis nu man sidder og er i tvivl om, man er en underleverandør, eller om man overhovedet er indbefattet af det her, og man gerne ikke vil have en bøde, fordi man ikke synes, man har lige så mange penge at betale med, som Microsoft har, og man bare synes, det er svært. Hvad gør man så, når nu vi når til september, og jeg tænker lige om lidt, så skal jeg være parat. Hvor kan jeg få hjælp til det her? Hvad skal jeg gøre?
Jamen, der er jo nogle forskellige muligheder. Der er en række rådgivere, der allerede har meldt sig på banen, så det er jo dels indenfor det juridiske, men også det tekniske.
Jeg vil anbefale, at man går ind på IT-brancheforeningens hjemmeside, der kan man gå ind under temaer, og der er lavet et helt univers, der har med implementeringen af NIS 2 at gøre.
Og der har man sådan set forsøgt meget slavisk at gå igennem, hvad er det, man skal forholde sig til, hvordan kan man se, om man er omfattet, og hvad skal man så gøre, hvis man er direkte eller indirekte omfattet af det her.
Og også lidt omkring, hvad er der for nogen i IT-branchen, der specialiserer sig inden for de forskellige ting. Så der er en god hjælp at hente der.
Okay. Så altså, hvis du også synes, det lyder kompliceret det her, så ind på IT-branchen hjemmeside og få noget hjælp, og ellers så kan du selvfølgelig bare ringe til Kenneth Kryger Gram her, som er klar til at hjælpe.