Kasper Bilde Nielsen er advokat i Bech-Bruun, og sammen med Peter Lind Nielsen, holder de et spændende indlæg på konferencen NIS2 – tilsyn, compliance og risiko den 23. april. I indlægget behandler de blandt andet indsamling af oplysninger og mapping af leverandørsammensætningen, udvælgelse af it-løsninger, leverandører, krav til dokumentation fra leverandører og meget mere.
Inden konferencen kan du læse et spændende interview med Kasper her.
Hvad er din baggrund, og hvad arbejder du med til daglig?
Jeg er jurist (cand.jur), advokat og har været ansat hos Bech-Bruun i snart 6 år. I hele min tid hos Bech-Bruun har jeg beskæftiget mig med områder som compliance, databeskyttelsesret, digitalisering og ny teknologi.Det er derfor også hovedsageligt cybersikkerhed og databeskyttelsesret, herunder også GDPR, som jeg arbejder med til daglig. Jeg rådgiver både private og offentlige klienter.
Det er dog tydeligt at mærke, at der den senere tid, både blandt vores klienter og hos lovgivere, er opstået en tendens til et større fokus på cybersikkerhed. Som en naturlig konsekvens af denne tendens, arbejder jeg i stigende grad med at skræddersy, koordinere og implementere cybersikkerhedsforanstaltninger i virksomheder og store internationale organisationer, herunder implementering og drift af kravene samt konkret i forhold til kontrakt- og leverandørstyring. Som jurist er cybersikkerhed et særdeles spændende område, da det tidligere var en teknisk øvelse, der nu også er blevet en juridisk disciplin, fordi lovgivningen og ikke mindst kunderne i dag stiller krav til virksomhedernes indsats. Vores målsætning er altid, at løsningerne skal være operationelle og driftsbare, så de giver mening på et kommercielt niveau, og det stiller krav til os. Foruden den konkrete sagsbehandling og rådgivning af klienter, bruger jeg også en stor del af min tid på undervisning og oplæg inden for mine fagområder.
Hvad ser du som de største udfordringer og muligheder i forbindelse med NIS2?
I min optik er en af de største udfordringer ved NIS2 at få gjort opmærksom på, at virksomheder og organisationer hurtigst muligt bør få afklaret, om de er omfattede af NIS2-kravene. Vurderingen er ikke altid lige til, og desværre er virkeligheden også, at virksomhederne skal navigere blandt misinformation i marken. For mange virksomheders vedkommende ligger der formentlig et større stykke arbejde for at blive compliant med NIS2. Så selvom der synes langt indtil den 24. oktober 2024, hvor NIS2-kravene skal være opfyldt, er det bestemt ikke for tidligt at gå i gang allerede nu.
At det er en god idé at påbegynde NIS2-kravene i virksomhederne allerede nu skyldes blandt andet, at compliance kræver involvering fra den øverste ledelse i relation til strategi, implementering og risikostyring. Det er således en øvelse, der omfatter alle lag af virksomhederne – ikke kun IT-afdelingen, som det historisk har været virkeligheden hos mange. Herudover vil det være nødvendigt for mange virksomheder at foretage forbedringer af deres nuværende it-systemer og sikkerhedsforanstaltninger – dette kan være en lang proces.
Heldigvis medfører NIS2-direktivet også en række muligheder – også for virksomheder, som ikke er direkte omfattede af de skærpede krav. Først og fremmest er ”upside” ved NIS2 jo i sagens natur, at flere virksomheder bliver bedre rustet til at modstå cyberangreb. Dette fører til større driftssikkerhed og i sidste ende et bedre omdømme og tillid hos virksomhedernes kunder og samarbejdspartnere. Et stærkt fokus på indkøbsrutiner og leverandørkrav har også en kommerciel upside i form af effektivisering og mere behovsafstemte løsninger.
For så vidt angår de ikke-omfattede virksomheder, kan et højt cybersikkerhedsniveau indgå som et konkurrenceelement, som de omfattede virksomheder formentlig vil vægte højt, når de i fremtiden skal udvælge samarbejdspartnere. På sin vis forventes det derfor, at NIS2 med tiden vil blive udtryk for best practice inden for cybersikkerhed.
Jeg forventer ikke, at NIS2 rummer de store tekniske overraskelser for virksomhederne, men jeg tror, at mange undervurderer den reelle opgave (uden for papiret) i at drifte hele complianceopgaven omkring NIS2, herunder sikre overblik, genbesøge risikovurderinger og oversætte løsningerne til konkrete opgaver i årshjulet.
Hvorfor er det vigtigt at lave et fælles direktiv? Og hvordan arbejder I med direktivet i forhold til at forberede jer og implementere direktivet i jeres virksomhed?
Bech-Bruun er juridisk rådgiver og implementeringspartner på NIS2.
At de skærperede krav til virksomheders og andre enheders it-sikkerhed sker gennem et EU-direktiv, er vigtigt fordi det fælles marked i EU mere end nogensinde afhængig af internettets og den digitale infrastrukturs funktionsdygtighed. Der er sket en udvidelse af antallet og typerne af cybertrusler, som kan udgøre en alvorlig trussel mod funktionsdygtigheden af kritiske sektorer såsom vandforsyning, elektricitet eller transport. NIS2-direktivet, som jo omfatter langt flere sektorer end det oprindelige NIS-direktiv, spiller derfor en vigtig rolle i at bidrage til bedre cyberrubusthed og en – forhåbentlig – mere problemfri levering af tjenester og varer. Isoleret set er der jo ærgerligt, at det er nødvendigt med lovgivning om cybersikkerhed på virksomhedsniveau, men det er trods alt et udtryk for en manglende modenhed, som overskrifterne i dagspressen dagligt vidner om i form af cyberangreb.
I tæt tilknytning hertil er et andet vigtigt moment forbundet med NIS2-direktivet, at der sker en (minimums)harmonisering og forhøjelse af cyberrobusthed blandt samhandlende lande. Forskelle i cyberrobusthed kan i sidste ende lede til fragmentering af markedet, når visse lande har en større sårbarhed over for cybertrusler end andre lande. Hensynene bag NIS2 er således også virksomhedernes konkurrenceevne, sikring af arbejdspladser og samfundets interesser heri.
Hvad er din rolle i forhold til NIS2 implementeringen?
Her op til ikrafttrædelsestidspunktet for NIS2 er min rolle i høj grad at sikre, at vores klienter og relevante virksomheder er opmærksomme på, at det nye cybersikkerhedsdirektiv træder i kraft den 18. oktober 2024. Dette gør jeg hovedsageligt gennem konkrete implementeringsopgaver, men også ved oplæg som disse og undervisning af vores klienter. Selvom der kan synes lang tid til ikrafttrædelsesdatoen, er det dog i praksis en meget kort implementeringstid for mange virksomheder.
Min rolle er at hjælpe virksomhederne fra den tekniske målestok for passende cybersikkerhed til også at overholde den nye juridiske målestok. Heri ligger en stor tillid til, at vi formår at favne de tekniske, juridiske og kommercielle interesser forbundet med cybersikkerhedsindsatsen, og at vi rammer niveauet, så virksomhederne hverken over- eller underimplementerer i forhold til den tekniske og juridiske målestok.
Derfor består min rolle også i at hjælpe vores klienter sikkert i mål med at overholde de kommende krav. Dette kan være en større og længerevarende øvelse, da opfyldelse af kravene forudsætter en ledelsesforankret og strategisk gennemførelse fra top til bund.
Har de sidste års kriser med pandemi, krig i Europa og inflation påvirket dit arbejde?
Ligesom resten af forretningsverdenen, er mange af vores klienter hos Bech-Bruun blevet påvirket af de store kriser på verdensplan. I den forstand påvirker det også mit arbejde, da mange af vores klienter nu er endnu mere opmærksomme på deres cybersikkerhed – nogle også fordi de har været ramt af cyberangreb. Vi bruger således også meget af vores tid på indicent response, hvor vi sammen med forensics m.fl. hjælper virksomhederne med at klare skærene efter et angreb. Det er altid ærgerlige ressourcer, og vi har endnu til gode at se, at den præventive indsats har været spildt sammenholdt med den uro og skade, som selv mindre cyberhændelser kan udgøre. Derfor skal vi som rådgivere også have fingeren pulsen og kunne levere rådgivning, der passer ind i virksomhedernes og organisationernes hurtigt omskiftelige realiteter.
Er der et særligt område under NIS2, du finder særligt relevant?
Efter min opfattelse er det særligt relevant, at NIS2 lovfæster et ledelsesansvar for organisationers cybersikkerhed. Indtil nu har vi været vant til, at spørgsmålet cybersikkerhed i de fleste organisationer blot er noget, der har hørt til i it-afdelingerne. Med indførelsen af NIS2-kravene er det nu nødvendigt, at bestyrelserne og direktionerne aktivt og løbende fører tilsyn og kontrol med risikovurderinger, foranstaltninger, rapportering og leverandørstyring. Med andre ord bliver ansvaret for cybersikkerhed fremadrettet et ansvar, som starter og slutter hos ledelsen, og som ikke alene involverer it-afdelingen, men den samlede organisation.
Derudover er den praktiske virkelighed, at NIS2 i høj grad stiller lovbundne og kommercielle krav til leverandørkæderne, hvorfor håndteringen af virksomhedernes kontrakt- og leverandørstyring i praksis er der, hvor vi som jurister virkelig kan skabe værdi.
Hvad taler du om på konferencen om NIS2, og hvad håber du, at deltagerne får ud af det?
På konferencen kommer jeg til at gå nærmere ind i de konkrete tiltag, og ikke mindst de lavthængende frugter, som virksomheder kan udnytte for at komme tættere på overholdelse af NIS2-kravene. Jeg vil også komme ind på ledelsesperspektivet, leverandørstyring samt spørgsmålene om tilsyn og sanktioner.
Helt overordnet håber jeg på, at deltagerne går fra konferencen med en bredere forståelse af, hvad cybersikkerhed indebærer, og hvorfor det er vigtigt. NIS2 er blot en mindre del af EU’s større strategi om digital lovgivning og modstandsdygtighed inden for den digitale verden, hvor der også er mange andre direktiver og forordninger på vej. Dem og alle synergierne vil vi også berøre.
Vil du gerne blive klogere på hvilke krav du skal stille til din leverandør?
Tilmeld dig konferencen NIS2, der bliver afholdt den 17. januar og hør et spændende indlæg med Kasper Nilesen om hvilke krav du skal stille til din leverandør. Læs mere om konferencen og tilmeld dig her.
