To direktivforslag rusker op i cybersikkerhed

Risikohåndtering af trusler mod sundhed, klima og sikkerhed

Af Claus Djørup
Koncern- og institutionsledere og ledende myndighedspersoner samt it-chefer kan se frem til en ny omgang opgradering af risikovurdering og foranstaltninger mod sikkerhedsstrusler, hvis man ikke allerede er i gang.

To direktivforslag fra EU-kommissionen indvarsler opgradering af EU-landenes samarbejde om cybertusler og krisehåndtering.

Det første drejer sig om direktivforslaget angående kritiske enheders modstandsdygtighed, som kendes som CER-direktivet (Resilience of Critical Entities).

Det andet, beslægtede direktivforslag handler om cybersikkerhed i net- og informationssystemer (NIS2-direktivet).

Forsvars- (og beredskabs)minister Trine Bramsen (S) fik alene nej fra DF og NB til sine to mandater ved forelæggelsen i europaudvalget torsdag 18. november.

Alex Ahrendtsen (DGF) voterede nej i bekymring dels for de øgede byrder for erhvervslivet, dels regeringens alt for positive holdning til en sag, som er en national prioritet.

– Sikkerhed kommer til at koste noget for alle. Alle bliver nødt til at investere og være med til at løfte ansvaret for sikkerhed. Erhvervsorganisationerne tager generelt positivt imod forslaget og kan se store fordele i at styrke modstandsdygtighed og mere ensartede minimumsregler på tværs af EU, svarede Trine Bramsen om de øgede byrder.

Kritiske enheders robusthed
Direktivforslaget angående kritiske enheders modstandsdygtighed, som kendes som CER-direktivet (Resilience of Critical Entities), erstatter ECI-direktivet fra 2008 om europæisk kritisk infrastruktur.

Medlemsstaterne pålægges at udarbejde en national strategi for kritisk infrastruktur og nationale risikovurderinger på grundlag af fælles kriterier. De anvendes til udpegning af kritiske enheder det være sig virksomheder eller myndigheder. Det vil berøre 100-150 danske virksomheder.

De kritiske enheder pålægges at implementere visse tekniske og organisatoriske tiltag, som medlemsstaterne gennem kompetente myndigheder skal føre tilsyn med, fremgår det af politikernotatet.

15 kortlægninger af samfundstrusler
Rumfart er den eneste af direktivforslagets 10 sektorer, som ikke bliver omfattet af den danske kortlægning i 2022 på 15 områder.

1) energi,
2) informations- og kommunikationsteknologi (ikt),
3) transport,
4) beredskab og civilbeskyttelse,
5) sundhed,
6) sociale forhold,
7) drikkevand og fødevarer,
8) spildevand og renovation,
9) finans og økonomi,
10) uddannelse og forskning,
11) meteorologi,
12) forsvar samt efterretnings- og sikkerhedstjeneste,
13) udenrigstjeneste,
14) myndighedsudøvelse generelt samt
15) tværgående krisestyring.

Trine Bramsen lægger afgørende vægt på, at kompromisforslaget respekterer medlemsstaternes suverænitet i anliggender, der vedrører national sikkerhed.

Videre lægger hun vægt på, at unødige administrative byrder i forbindelse med forslaget begrænses mest muligt.

Baggrundstjek af ansatte
3F er er bekymret for, at myndigheders baggrundskontrol af personale vil have indflydelse på arbejdstagerrettigheder og -beskyttelse. Bekymringen begrundes med, at myndighedernes tilbagemelding til arbejdsgiverne leverer for store mængder informationer, som utilsigtet vil kunne anvendes af arbejdsgiver til at frasortere ansatte.

Trine Bramsen accepterer i sit forhandlingsmandat, at der ”gives mulighed for at foretage udvidet baggrundskontrol af relevante medarbejdere, såfremt det ud fra en risikovurdering er relevant”.

Netsikkerhed
Det beslægtede direktivforslag NIS2 handler om cybersikkerhed i net- og informationssystemer.

NIS står for Network and Information Security. Dette direktiv etablerede CSIRT-kapaciteter (Computer Security Incident Response Team). Den hjemlige it-sikkerhedsmyndighed er Center for Cybersikkerhed (CFCS).

NIS2 udvider det eksisterende NIS-direktiv til flere sektorer herunder statens centraladministration. EU-formålet er udveksling af viden om hændelser og sårbarheder.

Dansk bødeproblem
I forbindelse med tilsyn og håndhævelse lægger Trine Bramsen afgørende vægt på, at Danmark ikke tvinges til at anvende administrative bøder.

Det er et almindeligt sammenstød mellem dansk strafferet og romerret. Regeringen tilbyder at fjerne problemet ved at formulere bødebestemmelsen på en sådan måde, at ”de kompetente myndigheder kan tage skridt til bøder, som i givet fald pålægges af de kompetente nationale domstole”. (Dj/221121)

© Ophavsretsklausul: Fagpressebureauets artikler og billeder må kun anvendes, distribueres eller publiceres efter aftale. Dette gælder også de i artiklerne nævnte personer, institutioner og virksomheder.

Comments are closed.