BRUXELLES – Når EU's 27 medlemslande snart skal i gang med implementeringen af nye, potentielt omfattende regler for virksomheders cybersikkerhed, skal det være med en klar bagkant, men længere ude i horisonten.

Sådan lyder meldingen fra EU's ministre, der fredag vedtog en såkaldt fælles holdning til den igangværende revidering af EU's omfattende cybersikkerhedsdirektiv, NIS2.

Her fremgår det, at ministrene er enige om, at EU-landene skal have omsat direktivet til lov inden for to år.

Deadlinen kommer som modsvar til EU-systemets anden lovgiver, Europa-Parlamentet, som i forrige uge vedtog, at de nye regler skulle træde i kraft efter senest halvandet år.

Fredagens fælles holdning fra de europæiske ministre bliver nu udgangspunktet, når de i den kommende tid skal forhandle med Europa-Parlamentet om en potentielt vidtrækkende og dyr revidering af unionens krav til cybersikkerhed.

Dyr fremtid i sigte

I en overflyvning kan NIS2 bedst opsummeres som en fælles opgradering af cybersikkerhed, når det gælder europæiske virksomheder. De nye regler vil på længere sigt øge kravene til IT-sikkerheden for en lang række virksomhedssektorer, der alle har det til fælles, at de vurderes at være enten "væsentlige" eller "vigtige" for samfundskritiske funktioner i medlemsstaterne.

I praksis vil den kommende revidering være lig med nye krav til bl.a. kryptering i afrapportering for en bred vifte af virksomheder inden for alt fra affaldshåndtering til medicinsk udstyr. Som tidligere beskrevet af Watch Medier risikerer det at blive en dyr affære.

Ifølge konsekvensvurderinger forbundet med forslaget vil virksomheder, der ikke tidligere var underlagt reglerne, kunne se frem til stigninger på op til 22 pct., når det gælder cybersikkerhed.

Forslaget er samtidig blvet mødt med bekymring hos bl.a. danske interesseorganisationer, som særligt har hæftet sig ved, at direktivet står til at kunne ramme langt bredere end tiltænkt.

"Det er rigtig mange virksomheder, der pludselig vil blive "væsentlige", fordi de f.eks. ligger på en havn. Det vil påvirke vindmølleindustrien, stålindustrien, den grønne omstilling, skibsværfter, råstofindustrien, grovvareselskaberne," lød konstateringen fra seniorchefkonsulent hos Dansk Industri, Mette Peetz-Schou, i november.

Formand: Indsatsen er høj

Fra rådets slovenske formandskab, der sidder for bordenden i forhandlingerne frem til udgangen af året, lægger man vægt på, at der i de seneste år har været en markant stigning i antallet af cyberangreb i Europa.

"Indsatsen er høj, og det nye NIS-direktiv vil spille en meget vigtig rolle i at styrke vores cybersikkerhed. Det vil også vise, at Europa er en leder inden for cybersikkerhedslovgivning," siger sloveniens minister for offentlig administration, Boštjan Koritnik, i en skriftlig kommentar.

Hos Europa-Parlamentet lægger et af forslagets forhandlere, danske Morten Løkkegaard (V) fra den liberale Renew-gruppe, vægt på, at lovgivnignen generelt er for sent ude.

"Cybertruslen vokser nærmest dag for dag. Derfor skal vi hurtigst muligt have gennemført de nye regler," skriver Løkkegaard i en skriftlig kommentar til Watch Medier og tilføjer:

"Jeg håber, at Europa-Parlamentet kan hive Rådet i en mere ambitiøs retning."

Med et fælles forhandlingsmandat fra både EU's medlemslande og Europa-Parlamentet er NIS2 officielt et skridt tættere på at blive til dansk lovgivning.

Deadline for implementering er dog fortsat et stykke ude i horisonten, da de to lovgivere først skal forhandle direktivet på plads.

DI frygter EU-krav om cybersikkerhed: Virksomheder på havne kan komme i klemme

Cybersikkerhedsdirektiv kan potentielt sende millionbøder til vandbranchen

Morten Løkkegaard: "Danmark kan blive den avancerede dreng i klassen"