Mange har formentligt kun hørt om NIS-direktivet i en bisætning. NIS omhandler net- og informationssikkerhed indenfor en række områder indenfor den kritiske infrastruktur. Det er fx energi, transport, finans, sundhed og drikkevand. Men trods det ser omfattende ud, er det kun cirka 150 danske virksomheder, som er omfattet af NIS1.
Helt anderledes er det med NIS2, som vil være fuldt implementeret i slutningen af 2024. Her er vurderingen fra en række eksperter, at op imod 1.000 virksomheder vil være omfattet af kravene om markant bedre it-sikkerhed. Og mange mindre virksomheder vil, måske til deres egen overraskelse, være omfattet.
Det er især virksomheder inden for digital infrastruktur, energi og fremstillingsindustrien, der bliver omfattet. Tilsammen repræsenterer disse tre sektorer over halvdelen af de virksomheder, der står til at blive omfattet.
– Som det ligger nu, betyder det, at mange mindre virksomheder – og principielt også deres underleverandører – skal til at se sig selv som samfundskritiske og dermed indstille drift og udvikling herefter. Derfor er det også vigtigt, at de danske myndigheder meget snart lægger sig fast på, hvordan direktivet skal implementeres i Danmark, siger Malene Stidsen, der er programchef for Industriens Fonds Cyberprogram.
Overordnet set vil NIS2-direktivet dække 18 sektorer, hvoraf en del af sektorerne indeholder en række delsektorer. Hele 36 procent af de omfattede virksomheder lever ikke op til de størrelsesrelaterede minimumskrav i direktivet, men er alligevel omfattet qua deres kritiske rolle for offentligheden eller folkesundheden.
Kilde: Industriens Fond