NIS2-direktivet: berører reelt mere end 100.000 virksomheder!
Stort set samtlige danske virksomheder og organisationer har skulle forholde sig til om de er underlagt den “nye” EU forordning NIS2. En rapport fastslog i februar, at over 1000 virksomheder ville være berørte. Mange virksomhedsledere har kigget på de berørte sektorer og set at deres virksomhed ikke står på listen. Men de har overset “litra 2d”!
Reelt er tallet af berørte virksomheder meget meget større!
Et væsentligt krav i direktivet foreskriver nemlig, at de direkte berørte virksomheder (og organisationer) skal forholde sig til deres underleverandører i følge direktivets artikel 21 (Se ovenfor).
Dette betyder flere ting:
De direkte berørte virksomheder skal tilsikre at deres underleverandører også har styr på IT-sikkerheden! Dette vil betyde at berørte virksomheder sender sikkkerhedskravene videre til deres underleverandører. Leverer en underleverandør væsentligt produkter eller ydelser (fx. grundlæggende IT-sikkerhedsværktøjer) så vil de berørte virksomheder naturligvis kræve at underleverandøren også har styr på deres IT- (og data-) sikkerhed! Kan de ikke dette, så vil de berørte virksomheder lede efter andre leverandører, der vil kunne levere (og dokumentere) en bedre sikkerhed.
NIS2-compliance bliver et konkurrenceparameter.
Vil en virksomhed levere sine ydelser og produkter til en af de direkte berørte virksomheder og organisationer, så skal disse virksomheder derfor forholde sig kraftigt til de samme krav og sørge for at kunne opfylde disse. Derfor vurderer jeg, at dette vil betyde, at måske over 100.000 virksomheder herved bliver indirekte berørte af NIS2-direktivet.
“Offentlige myndigheder” og “Sundhed”.
Disse to områder er kategoriseret som “væsentlige sektorer” i direktivet. Ønsker en virksomhed at levere sine ydelser eller produkter til disse sektorer, så vil den være underlagt Artikel 21, litra 2d!
Det er pt. uklart, hvordan de danske myndigheder forholder sig til om danske regioner og kommuner hører ind under “Offentlige myndigheder”. Men når jeg tænker på, at det danske sundhedssystem jo er håndteret af Regionerne og at kommunerne ligger inde med væsentlige oplysninger om deres borgere, varetager central infrastruktur, osv. så skulle jeg mene, at det er selvsagt at også disse er underlagt NIS2.
Forsyningskædens underleverandører.
Leverer en virksomhed ydelser, der er baseret på en underleverandørs produkter eller ydelser, til de NIS2-berørte sektorer, så vil kravene blive sendt videre til disse under-underleverandører. Det betyder at en virksomhedsledelse skal vurdere om de ikke også indgår i forsyningskæden.
Og så er vi tilbage til at NIS2-direktivet herved kommer til at berøre mere end de godt 1000 direkte berørte virksomheder og organisationer! Kravene vil sprede sig, som ringe i vandet!
Og hertil vil jeg så mene at det vel – uanset om en virksomhed vil/skal forholde sig til dette direktiv – grundlæggende en centralt for virksomheden at have styr på IT-sikkerheden.