Bedre it-sikkerhed, større personligt ansvar og en bedre forhandlingsposition over for forsikringsselskaberne. Det er nogle af de umiddelbare konsekvenser for de virksomheder, der er omfattet af og formår at leve op til reglerne i det kommende EU-direktiv om beskyttelse af net- og informationssystemer, NIS2. Målet med direktivet er at styrke risikostyringen på det digitale område, og selv om det betyder nye og øgede krav til virksomhederne i EU, så er der ifølge cybersecurity specialist Lars Schak fra WTW i høj grad også positive aspekter ved direktivet set med virksomhedernes øjne.
“De virksomheder, der kommer ud på den anden side, vil opleve, at deres it-sikkerhed er blevet væsentligt forbedret”
Lars Schak | Cybersecurity Specialist
»Med NIS2 kommer der øgede krav om risikovurderinger, implementeringer af sikkerhedsforanstaltninger, kontrol og dokumentation, og det betyder naturligvis, at der er en lang række opgaver, der skal løses, og nye processer, der skal på plads. Men hvis man tager ja-hatten på, så vil de virksomheder, der kommer ud på den anden side, opleve, at deres it-sikkerhed er blevet væsentligt forbedret, og at de derfor er bedre rustet til at modstå et cyberangreb,« siger Lars Schak.
NIS2-direktivet gælder for virksomheder med flere end 49 ansatte og en årlig omsætning på mere end 75 millioner kroner. Derudover skal virksomheden tilhøre en sektor, som EU har karakteriseret som enten væsentlig eller vigtig for samfundet. Energi, transport, sundhed og banker er blandt de væsentlige sektorer, mens håndtering af post og affald samt produktion af kemikalier, fødevarer og medicinsk udstyr er blandt de vigtige sektorer.
Direktivet stiller krav til de omfattede virksomheder om, at ledelsen skal godkende og føre tilsyn med risikostyringen af cybersikkerheden, men der er forskel på, hvor grundigt myndighederne vil føre tilsyn med, om virksomhederne følger reglerne. Væsentlige virksomheder vil være underlagt en omfattende forudgående og efterfølgende tilsynsordning, mens vigtige virksomheder alene er underlagt en efterfølgende tilsynsordning.
Listen over minimumskrav, som virksomhederne i fremtiden skal kunne dokumentere, at de lever op til, er lang. Den omfatter blandt andet udarbejdelse af politikker og procedurer for opretholdelse af cybersikkerheden i virksomheden, udarbejdelse af beredskabsplaner til håndtering af databrud og etablering af sikre forsyningskæder.
Virksomheder, der ikke er direkte omfattet af direktivet, kan også risikere at blive indirekte påvirket via krav fra deres kunder.
»NIS2-direktivet stiller krav om sikre forsyningskæder, og derfor kan man som underleverandør blive mødt med krav om at leve op til nogle af reglerne i direktivet, hvis man fortsat ønsker at være leverandør til en af de omfattede virksomheder. Dermed bliver NIS2-direktivet også et konkurrenceparameter, hvor de virksomheder, der lever op til reglerne, vil have en meget klar konkurrencefordel,« siger Lars Schak.
WTW har udarbejdet ti anbefalinger, der kan tjene som roadmap til at opnå den it-sikkerhed, som NIS2-direktivet kræver. Anbefalingerne omfatter blandt andet brug af multifaktor-godkendelse (MFA), regelmæssig backup af data og etablering af en sikker e-mail- og webkommunikation.
NIS2-direktivet pålægger som noget nyt ledelsen og bestyrelsen et personligt ansvar for, at virksomheden foretager en effektiv risikostyring af cybersikkerheden, og direktivet lægger op til, at det kan medføre en bøde til enkelte ledere eller bestyrelsesmedlemmer, hvis reglerne ikke overholdes. I yderste konsekvens giver direktivet endda mulighed for midlertidigt at suspendere enkeltpersoner eller dele af virksomheden.
“Med NIS2-direktivet har vi i hvert fald fået en helt klar opskrift på, hvad man skal gøre for at håndtere cybersikkerheden”
Pernille Kornath Møller | FINEX Practice Specialist
»Vi oplever, at det er et emne, der allerede fylder rigtig meget ude i virksomhederne. Og det er da også vores vurdering, at direktivet kan have en afsmittende effekt på ansvarsvurderingen i forhold til direktion og bestyrelse, hvis man bliver mødt med et krav om erstatning. Det er for tidligt at sige, hvad konsekvenserne bliver i praksis, men med NIS2-direktivet har vi i hvert fald fået en helt klar opskrift på, hvad man skal gøre for at håndtere cybersikkerheden,« siger FINEX Practice Specialist Pernille Kornath Møller, der sammen med Lars Schak bistår WTW’s kunder med blandt andet udbud og forhandling af cyber- og bestyrelsesansvarsforsikringer.
Bestyrelsesansvarsforsikringen dækker som udgangspunkt krav, der er baseret på direktionens og bestyrelsens ansvarspådragende adfærd, men dækker eksempelvis ikke bøder af strafferetlig karakter, som ikke kan forsikres i henhold til dansk lovgivning.
Pernille Kornath Møller forventer ikke, at NIS2-direktivet på kort sigt vil føre til ændringer af hverken priser eller betingelser på cyber- eller bestyrelsesansvarsforsikringer, men direktivet kan have en positiv effekt for de virksomheder, der formår at leve op til kravene.
»Når man som virksomhed kan dokumentere, at man lever op til reglerne i NIS2-direktivet, så har man et godt udgangspunkt, når der skal forhandles nye priser og betingelser på ens forsikringer,« siger Pernille Kornath Møller.
NIS2-direktivet er et minimumsdirektiv, der skal indarbejdes i dansk lovgivning, før det træder officielt i kraft. Det betyder, at de danske regler, som minimum skal leve op til direktivet. WTW opfordrer danske virksomheder til allerede nu at gå i gang med at sikre efterlevelse af reglerne, hvis det ikke allerede er sket.
Direktivet ventes at træde i kraft i begyndelsen af 2025.
| Titel | Filtype | Filstørrelse |
|---|---|---|
| The NIS2 Directive will increase IT security | .1 MB |
