Ændrede krav til cybersikkerhed skal beskytte Europas erhvervsliv – men vejen dertil kan blive dyr

INDBLIK. En omfattende revidering af de europæiske cybersikkerhedsregler er undervejs med risiko for millionbøder til store som små virksomheder. Erhvervslivet frygter risikoen for uforholdsmæssige krav, men i Bruxelles ser man muligheder. For kan EU blive frontløber på en gylden standard?

Foto: PR/Maersk

Han havde ikke skænket det en tanke.

Godt nok havde Morten Løkkegaard brugt den bedre del af et årti som europaparlamentariker, men Venstre-mandens daglige fokus havde ikke været på det stigende antal cyberangreb, der år efter år lammede virksomheder og myndigheder.

Det var noget, han nok håndterede som de fleste: Et hackerangreb blev bemærket, når det dukkede op i nyhederne. Noteret i forbifarten.

Dernæst lagt i glemmebogen.

For godt et år siden fik den danske politiker dog det, han i dag betegner som "noget af en øjenåbner".

Som forhandler i Europa-Parlamentets udvalg for det indre marked, IMCO, blev Morten Løkkegaard en af figurerne i revideringen af EU's cybersikkerhedsdirektiv, NIS2, og måtte dykke ned i verden af IT-kriminalitet, fremmede magters troldehære og afpresning af virksomheder, institutioner og de globale handelshovedårer.

Fundene fra arbejdet er nu med til at varsle en ny æra for europæiske såvel som danske virksomheder med markant højere udgifter, IT-sikkerhed og krav til en lang række nye sektorer på tværs af erhvervslivet til følge. Det er konsensus i både Bruxelles og København – og Morten Løkkegaard er en af støtterne.

Alvoren er ikke til at komme udenom, forklarer han.

"Vi tager hul på dette her i allersidste sekund," siger Morten Løkkegaard:

"Hvis det da ikke allerede er fem minutter over tolv."

Morten Løkkegaard (V) havde brugt den bedre del af et årti i politik, da han begyndte at arbejde med cybersikkerhed. I dag er det et centralt emne for at sikre Europas fremtid. (ARKIV) | Foto: Jens Hartmann Schmidt
Morten Løkkegaard (V) havde brugt den bedre del af et årti i politik, da han begyndte at arbejde med cybersikkerhed. I dag er det et centralt emne for at sikre Europas fremtid. (ARKIV) | Foto: Jens Hartmann Schmidt
 

Millionregninger

Revideringen af NIS-direktivet kommer godt fem år efter, at forgængeren, NIS1, så dagens lys. Retsakten, der reelt hedder "Directive on Security of Networks and Information Systems", var den første af sin art og havde til formål at højne niveauet for cybersikkerhed på tværs af EU og særligt inden for kritisk infrastruktur.

Som et EU-direktiv var det imidlertid op til de europæiske medlemslande at få indarbejdet konklusionerne i de nationale love. En proces, der strakte sig frem til 2018 og efterfølgende viste sig at have ladet en del tilbage at ønske.

I dag arbejder EU-institutionerne på en mere omfattende opfølger på direktiver, der – groft sagt – kommer til at være dyrere, mere omfattende og ramme virksomheder fra erhvervskæmper til potentielt små producenter.

Direktiv vil samtidig omhandle markant flere virksomheder end tidligere: NIS1 omhandlede bl.a. dele af energisektoren, tog-, skibs- og flytrafik, banker, hospitaler, drikkevandsdistribution og internetudbydere.

Står det til EU-Kommissionen, vil gruppen kunne se frem til at få selskab af medicinalproducenter, elektronik, fødevareproduktion, maskinproducenter, sociale medier, post- og kurervirksomheder samt affaldsselskaber – for ikke at tale om de dele af erhvervslivet, der beskæftiger sig med rummet.

Officielt vil direktivet gælde virksomheder med over 50 ansatte og 100 mio. euro i årlig omsætning. De europæiske lovgivere har dog i dag inkorporeret, at mindre virksomheder også kan omfattes, hvis de udfylder essentielle funktioner, hvor der ikke andre udbydere.

Ser man på sanktionssiden, lader hammeren også til at ville falde hårdt.

Ifølge Kommissionen og Europa-Parlamentet kan de europæiske virksomheder være i skudlinjen til bøder på 10 mio. euro, rundt regnet 75 mio. kr., eller op til to pct. af foregående års omsætning, hvis de ikke opretholder de nødvendige krav til f.eks. rapportering af angreb, kryptering og risikovurdering af virksomheden.

Samme størrelsesorden kendes i dag fra den europæiske persondataforordning bedre kendt som GDPR.

Og som med spørgsmålet om behandlingen af personfølsomme data er håndteringen af cyberkriminalitet i høj grad blevet et hedt emne i Bruxelles.

Det er blevet en "Chefsache".

Bart Groothuis, chefforhandler på NIS2 i ITRE

Morten Løkkegaard er ikke den eneste folkevalgte, som har haft et skarpt øje på udviklingen på Europas digitale bolværk. Hollandske Bart Groothius taler hurtigt – til tider med islæt af andre europæiske sprog, mens han gang på gang slår fast, at der i dag er klart behov for at få fod på spørgsmålet om den digitale sikkerhed i Europa.

"Cybersikkerhed har sammen med tech generelt længe været set som en niche. Det bør man bare ikke," siger Bart Groothuis.

Groothuis er en mand med flere titler. Som Morten Løkkegaard er han medlem af den liberale Renew-gruppe i Europa-Parlamentet. Derudover har han tidligere brugt syv år som chef for cybersikkerhed hos det hollandske forsvarsministerium. Senest har han været chefforhandler i Europa-Parlamentets hovedudvalg på NIS2, ITRE.

Står det til chefforhandleren, skal emnet forankres blandt såvel virksomheder som magthavere.

"Det er blevet en "Chefsache" – som de siger i Tyskland," konstaterer Bart Groothuis:

"En meget vigtig sag, og det er meget vigtigt, at det ikke kun bliver det i virksomhederne, men cybersikkerhed også forbliver en Chefsache politisk."

"Cybersikkerhed har sammen med tech generelt længe været set som en niche. Det bør man bare ikke," siger Bart Groothuis. | Foto: European Parliament / Fred Marvaux

Digitale magtkampe har generelt fået en større rolle i international politik, bemærker den tidligere cyberchef.

Et af de tydeligste eksempler finder man, hvis man blot skruer tiden et par måneder tilbage til det første møde mellem den nyslåede amerikanske præsident Joe Bidens og hans russiske modpart, Vladimir Putin.

I månederne forinden var flere opsigtsvækkende hacking-episoder skyllet ind over både USA's største olieledning, Colonial Pipeline, og kødkoncernen JBS. Det første møde mellem de to verdensmagter var således mod et noget anderledes bagtæppe – angrebene var dog langt fra enlige svaler.

Gennem de senere år er antallet cyberangreb mod virksomheder og institutioner kun blevet flere og dyrere, hvor hackere holder hele systemer eller vitale data som gidsel mod udbetalinger af løsesummer i million- og milliardklassen.

Blandt de mest kendte finder man angrebet mod det danske shipping-ikon Maersk, der i 2017 blev holdt som gidsel. Et par nedslag i de senere års cybersager omfatter dog også navne som Kia, Facebook, Norsk Hydro, Mastercard, Toshiba og tech-selskabet Solarwinds, mens man i Danmark har haft sikkerhedsbrud hos bl.a. grovvarekoncernen Danish Agro og nyhedsbureauet Ritzau.

Estimater anslår, at der i 2021 foretages et ransomware-angreb hvert 11. sekund.

Inden årsskiftet forventes skaderne at have kostet de berørte op mod 128 mia. kroner – mere end seks gange den vedtagne kompensationspakke ved nedlukningen af hele den danske minkbranche under coronakrisen. Samtidig er tallet 57 gange større end tabet ved ransomware for blot fem år siden.

Mødet mellem de to præsidenter endte angiveligt uden de store konklusioner. For Bart Groothuis er det dog heller ikke udfaldet, som er det mest interessante, men omstændighederne.

"Det første møde mellem Putin og Biden handlede ikke om atomkraft eller atomvåben," siger han.

"Det var om cyber."

LÆS OGSÅ: Da hackere lammede Danish Agro

Europæisk guldstandard

Brexit og Trump er ifølge Morten Løkkegaard nogle af de helt tydelige eksempler på NIS2's berettigelse. Påvirkningskampagnerne, der løb forud for både afstemningen om briternes EU-exit og valget af den amerikanske mogul og siden præsident, illustrerede et helt nyt niveau af både "kriminel indblanding og politisk infiltration".

"Det er sådan set kun vokset eksponentielt siden og breder sig til erhvervslivet," siger Morten Løkkegaard i dag.

Derfor er det også vigtigt, at "nettet bringes på linje med vores analoge verden", som den danske politiker formulerer det. Det vil samtidig give EU muligheden for at være toneangivende, når det gælder regler om cybersikkerhed.

Man kan bare se på udbredelsen af GDPR, forklarer han.

"Mange sagde "Uha-nej! Europa vil miste en masse konkurrencefordele og folk vil søge væk", men det er ikke det, som sker," siger Morten Løkkegaard.

"Når vi kommer ind på områder, hvor der mangler en fælles standard og regelsæt, vil vores blive den gyldne standard. Det er ved at ske med GDPR, og jeg er helt sikker på, at det også vil ske med cybersikkerhed."

Markedet har kort sagt brug for en ramme.

"Særligt fordi alternativet – anarki – er en rigtig dårlig forretning," siger Morten Løkkegaard.

NIS2-direktivet stiller skarpt på såkaldt kritisk infrastruktur. Hvorvidt eksempelvis udviklerne af coronapasset i Danmark, Netcompany, er en del af den gruppe lovgiverne tilbageholdende med at forholde sig til. | Foto: SSI
NIS2-direktivet stiller skarpt på såkaldt kritisk infrastruktur. Hvorvidt eksempelvis udviklerne af coronapasset i Danmark, Netcompany, er en del af den gruppe lovgiverne tilbageholdende med at forholde sig til. | Foto: SSI
 

Det "væsentlige" erhvervsliv

I praksis vil NIS2 dele europæiske virksomheder ind i to overordnede grupper: De "vigtige" og de "væsentlige". Væsentlige omfatter f.eks. hospitalsvæsenet, banker, energiforsyningen, vand og spildevand, mens de "vigtige" – der forsimplet har mindre strikse rapporteringskrav – omfatter bl.a. affaldshåndtering, maskinproduktion, medicinaludstyr samt post- og kurerservice.

Når det kommer til, hvem der konkret vil være dækket i en dansk kontekst, er Morten Løkkegaard tilbageholdende. Det er reelt ikke en noget, der skal besluttes i Bruxelles, men derimod af de danske politikere.

IT-virksomheden Netcompany har bl.a. udviklet det danske coronapas. Er det kritisk infrastruktur?

"Jeg kan ikke foregribe det, som de danske myndigheder skal sætte sig ned og tage et kig på. Men der er selvfølgelig nogle, som giver sig selv," siger Morten Løkkegaard.

Visse virksomheder – som eksempelvis Maersk – giver nok sig selv, da de har en størrelse og rækkevidde, der er svær ikke at se som samfundskritisk, uddyber han.

"Men selvom jeg sagtens kan sidde og have en mening om det, er det i sidste ende op til de danske myndigheder. Når du siger f.eks. Netcompany, så kan man godt tro det, men jeg ved det ikke med sikkerhed."

Som EU-direktivet ser ud nu, kan det komme til at ramme rigtig mange, der producerer noget i dette land.

Mette Peetz-Schou, seniorchefkonsulent hos Dansk Industri

Spørgsmålet er dog allerede ved at blive sat under lup på kontorerne hos flere af Danmarks største erhvervsorganisationer – og ifølge den største, Dansk Industri, er én ting allerede sikkert.

"Det er rigtig mange virksomheder, der pludselig vil blive "væsentlige", fordi de f.eks. ligger på en havn. Det vil påvirke vindmølleindustrien, stålindustrien, den grønne omstilling, skibsværfter, råstofindustrien, grovvareselskaberne," siger seniorchefkonsulent Mette Peetz-Schou.

Hun har længe dykket ned i implikationerne ved NIS2, og resultatet er en klar bekymring for, at direktivet kommer til at ramme en lang række virksomheder. Udfordringerne vil ikke mindst blive klare i forhold til den danske produktion af teknik og maskiner, der, foruden at være komplicerede processer, står tilbage som store industrier i Danmark, lyder vurderingen.

"Samlet må man bare sige, at som EU-direktivet ser ud nu, kan det komme til at ramme rigtig mange, der producerer noget i dette land," siger Mette Peetz-Schou.

For dårlige til at forstå omfanget

Der kommer til at gå flere år, før NIS2 vil finde vej til Danmark. Lovgivningsmæssigt har retsakten fået støtte i Europa-Parlamentet til at indlede forhandlinger med unionens medlemsstater, men den bliver formelt først godkendt senere i november.

Dernæst venter forhandlinger med de europæiske medlemsstater i rådet, inden et vedtaget direktiv kan begynde at blive indarbejdet i dansk lov. Hvor Danmark lægger snittet på spørgsmålet, er endnu uvist, men Forsvarsministeriet oplyser, at regeringens "foreløbige holdning" har "været positiv og støttet formålet om at højne cybersikkerheden".

"Regeringens positive holdning har dog været med forbehold for, at de statsfinansielle og erhvervsøkonomiske konsekvenser ved forslaget skulle afdækkes nærmere inden en endelig stillingtagen," skriver ministeriet.

Jeg har ingen illusioner om, at vi er færdige.

Morten Løkkegaard (V), forhandler på NIS2 i IMCO

Står det til Morten Løkkegaard, bør Danmark sætte barren højt for cybersikkerhed. Selv er han lige kommet tilbage fra en rejse til Athen, da interviewet finder sted. En destination blandt mange på hans rejse, når det gælder om at forstå en trussel, der kun bliver større, mere allestedsnærværende – og mere krævende.

"Jeg har ingen illusioner om, at vi er færdige, og at der ikke kommer en NIS3, NIS4 eller NIS5, men vi må begynde et sted," siger han.

Det var jo også den indledende musik i interviewet, bemærker han: Vi er alt for sent på den.

"Vi har været alt for dårlige til at forstå omfanget af dette her. Der har ikke været den nødvendige teknologiske forstand, og hverken os som politikere eller vores vælgere har interesseret sig nok for det," siger Morten Løkkegaard.

Der er dog sket et skift, siden han selv fik sin oprindelige øjenåbner. Ord som "hacking", "ransomware" og "cyberangreb" er blevet en del af den daglige samtale – også uden for de laksefarvede sider i et erhvervstillæg.

"Nu er det ved middagsbordene," siger han.

(ARKIV) | Foto: Jens Hartmann Schmidt
(ARKIV) | Foto: Jens Hartmann Schmidt