Det forholdsvis nye ministerium: Ministeriet for Samfundssikkerhed og Beredskab, er barslet med en lille online NIS2-quiz.
Det kan virke banalt med et uforpligtende NIS2-tjek, for mon ikke alle danske virksomheder og organisationer efterhånden har fundet ud af, om de er omfattet af NIS2 eller ej? Loven står jo ude foran hoveddøren og banker på, for den skal træde i kraft 1. juli, og det har været det helt store buzz-word i branchen de sidste par år…
Alligevel har ministeren – Torsten Schack Pedersen – måske fat i noget, når han udtaler at mange stadig i tvivl:
”…En række virksomheder har givet udtryk for, at de er i tvivl om NIS 2 også gælder for dem. Derfor introducerer Styrelsen for Samfundssikkerhed nu NIS 2-tjek, så virksomheder kan få en vejledende vurdering på få minutter og derefter tage de næste skridt mod at skabe en mere digital robust virksomhed.”
Sidder man som tung industrispiller og leverer kritisk infrastruktur, så giver svaret ligesom sig selv, men hvad med de små underleverandører, de frivilligt drevne vandværker eller landmålervirksomheden? Jeg kan godt forstå, at mange stadig er i tvivl. Og jeg møder tvivlen hos både større og mindre kunder, der spørger: Er vi omfattet? Og hvis ja, I hvilken grad? Og, hvad kræver direktivet, at vi nu gør? Hvordan forbereder vi os?
Er du sikret, hvis testen viser, du ikke er omfattet?
Mange danske virksomheder og organisationer, kan tage testen og få et ”ikke omfattet” resultat, men de kan nu alligevel ikke sige sig helt fri fra NIS2-kravene.
Mange vil nemlig alligevel møde de selvsamme NIS2-krav fra deres kunder via deres position som forsyningskædepartner til en NIS2 omfattet virksomhed, så ikke alene bør man tage NIS2-tjekket, man bør samtidigt gøre sig selv den tjeneste at gå sit kundekartotek igennem. Har man store virksomheder som kunder, eller leverer man til nogen, der har kritisk infrastruktur, vil selv en lille spiller blive ramt af kravene gennem deres samhandelskontrakt med en større spiller. EU-kommissionen har nemlig sat fokus på forsyningskæden i NIS2, og det gør de klogt i, for vi ser et stigende antal angreb, der foregår via forsyningskædepartnere. Hackerne er gode til at finde det svageste led, som vi fx så for et par år siden, da alle tog i Danmark pludselig holdt stille. DSB var ikke blevet hacket, men det var en lille underleverandør i Næstved, der leverede en vital app til lokomotivførerne.
Bliver NIS2 endnu en papirtiger?
Mange er nervøse for, om direktivet ender med at være endnu en papirtiger, der trækker kræfter fra det reelle sikkerhedsarbejde over i en compliance opgave, hvor det blot gælder om at få sat de rigtige krydser i dokumentationspapirerne… Derfor er jeg også særligt interesseret i ministerens løfte om at følge NIS2-tjekket op med vejledninger:
”Det har fra begyndelsen været vigtigt for mig, at virksomhederne er klædt godt på til den nye lovgivning. NIS 2-tjek er første skridt på vejen mod det. Snart følges der op med vejledninger.”
Jeg håber virkelig, at de lovede vejledninger er i turbofart på vej mod offentliggørelse, for 1. juli er lige om hjørnet.
Mens vi venter i spænding, vil jeg anbefale alle at lave/få lavet en analyse af deres digitale sikkerhed og de processer, der støtter op om den. Jeg er selv stor tilhænger af at anvende CIS-kontrollerne til det formål. De fungerer som praktisk drejebog, der både giver syn for sagen og anbefaler, hvilke handlinger man bør prioritere først.
Læs mere om NIS2-tjekket og tag testen hos Ministeriet for Samfundssikkerhed og Beredskab.
