På NIS2-konferencen den 13. april holder Jesper Rode Tholstrup, kontorchef, center for undergrund og beredskab i Energistyrelsen et spændende indlæg om NIS2 i Energisektoren, og de fremtidige tilsyn og krav direktivet har.
Inden konferencen kan du læse et spændende interview med Jesper.
Hvad er din baggrund og hvad arbejder du med det til daglig?
Jeg er uddannet officer fra Forsvaret, hvor jeg arbejdede i 10 år. Efter Forsvaret skiftede jeg over til energisektoren hvor jeg arbejdede for Energinet som blandt andet teamleder for beredskabet. Her startede jeg med at arbejde med fysisk og organisatorisk sikkerhed, men det udviklede sig også til logisk, cyber- og informationssikkerhed. Efterfølgende arbejdede jeg to år som it-sikkerhedskonsulent hos Devoteam, hvor jeg begyndte at nørde cyber- og informationssikkerhed på et lidt højere niveau.
I dag sidder jeg som beredskabschef i Energistyrelsens beredskabsenhed og er ansvarlig for implementeringen og den regulering som omhandler beredskab som virksomhederne i Energisektoren er underlagt. I forhold til NIS2-direktivet, så er det ikke meldt ud endnu, hvem der får ansvaret for implementeringen her i Danmark, så det bliver spændende at se, om det er de sektoransvarlige, altså os, der skal stå for den opgave.
Kan du fortælle lidt om NIS2 og hvilke krav direktivet har?
Det er et af de spændende afklaringspunkter, der ligger i den her proces, før vi kan implementere det i dansk lovgivning, nemlig spørgsmålet om hvem der bliver omfattet af direktivet. Når vi har med et direktiv at gøre, er det den nationale kompetente myndighed, der skal implementere det i den enkelte stats egen lovgivning og først derfra har det effekt. Vores hensigt i energisektoren er ikke at implementere det der står i direktivet én-til-én, fordi det vil betyde en stor nedgradering af sikkerheden inden for el- og gassektoren. Beslutningen om hvordan implementeringen af NIS2 skal gennemføres er som sagt ikke fastlagt endnu, men sammen med energisektoren er jeg sikker på, at vi finder et passende ambitiøst niveau.
Kigger man på direktivet fra en juridisk vinkel, så vil fjernvarmesektoren have meget få selskaber, som muligvis vil blive omfattet af NIS, men er det godt nok, når vi i Danmark har flere hundrede fjernvarmeselskaber? Det er et af de spørgsmål, jeg glæder mig til at få svar på i forbindelse med implementeringen af NIS2. Sammen med sektoren skal vi finde ud af, hvordan den her regulering skal implementeres og det bliver rigtig spændende.
Hvilken effekt tror du NIS2 vil have på det generelle Cybersikkerhedsniveau i Danmark?
Jeg tror måske godt, det kunne gå hen og blive det nye GDPR, som jo fylder rigtig meget i dag, da langt de fleste godt ved hvad det handler om og går ud på. Jeg tror det nye direktiv kommer til at skærpe vores fokus på cyber- og informationssikkerhed bredt set.
Den store forskel er også, at der er indbygget mulighed for udstedelse af bøder, og det er noget folk kan forholde sig til. Det er ikke et virkemiddel som jeg er tilhænger af, men det er noget, som folk kan forholde sig til. Derudover har direktivet også nogle håndtag man kan dreje på, i forhold til at man blandt andet kan fjerne folk midlertidigt fra deres stilling, hvis det ikke bliver gjort godt nok, og de her håndtag og tiltag kommer til at skabe noget opmærksomhed.
Er der et særligt område under NIS2 du finder relevant?
Jeg synes det bliver rigtig spændende at følge, fordi det netop er et direktiv og ikke en forordning, så her det er op til den enkelte stat at skulle implementere direktivet i egen lovgivning. Derudover glæder jeg mig til at følge, hvordan vi får koordineret det her på tværs af EU. Vi har jo også en del internationale virksomheder, så hvordan skal en international virksomhed forholde sig til lovgivning i Holland, Belgien, Danmark, Tyskland og Sverige hvis vi ikke har skrevet det samme, så bliver det svært for en organisation at operere. Det bliver derfor spændende om myndigheder formår at lave en koordinering på tværs og om vi på et europæisk plan formår at få skabt en synergi til de internationale virksomheder også.
Hvem synes du i en virksomhed burde deltage på konferencen?
Det er et godt spørgsmål. Jeg sidder og tænker på, hvem skal ikke deltage. Jeg tror dog ikke, den her konference er for teknikerne, i hvert fald ikke i forhold til det jeg kommer og fortæller om. Det henvender sig til blandt andet C-levels, fordi det jo er en retning som virksomhederne skal tage, og handler om en regulering der bliver pålagt virksomheden.
Vil du gerne høre med om implementeringen af NIS2?
På konferencen NIS2 den 13. april holder Jesper et spændende indlæg om NIS2 i energisektoren og hvilke krav og tilsyn der følger med. Læs mere og tilmeld dig konferencen her.
