I slutet av april antog det danska parlamentet EU:s säkerhetsdirektiv CER och NIS2, som förväntas genomföras den 1 juli 2025, men enligt Lars Andreasen, partner på P-Secure och tidigare chef för motintelligens på PET, bör kraven i direktiven innehålla mer än vad som har lagts fram.
Vår VD, Lars Andreasen, har levererat ett diskussionspapper i Ingeniøren PRO, som behandlar de två säkerhetsdirektiven NIS2 och CER, som just har antagits i det danska parlamentet. Han anser att kraven i direktiven inte omfattar tillräckligt många branscher och företag.
Du kan läsa hela diskussionsinlägget nedan eller på Ingeniøren där du också kan delta i debatten.
Danmarks kritiska infrastruktur måste vara mycket mer robust än den är idag. EU-direktiven CER och NIS2 måste nu säkerställa detta. Lagstiftningen måste verkställas av företag, organisationer och institutioner som kan kategoriseras som kritisk infrastruktur eller underleverantörer till den.
Huruvida en omfattas kan nu testas med en Nis2-kontroll som nyligen lanserats av myndigheterna. Du skulle tro att allt är i bästa ordning. Det finns bara ett problem. I Danmark finns det företag som på grund av sin storlek eller marknadsposition har en sådan inverkan på landets ekonomi att de också bör kategoriseras som kritisk infrastruktur.
Detsamma gäller naturligtvis våra utbildnings- och forskningsinstitutioner, som ska säkra landets framtid. Vi har redan sett exempel på industrispionage mot DTU. Industriell spionage som skadar Danmarks konkurrenskraft.
Därför bör ministeriet för gemenskapens säkerhet och beredskap utvidga definitionen av kritisk infrastruktur till att omfatta företag och forskningsinstitutioner som annars har betydande inverkan på Danmarks ekonomi på kort och lång sikt. Konsekvenserna är oberäknliga om dessa påverkas av spionage, sabotage etc.
Med det sagt är det också förvånande att många företag väntar med de grundläggande säkerhetsåtgärderna eftersom de är osäkra på om de omfattas av lagstiftningen eller inte.
Även om vi upplever en ökande säkerhetsmedvetenhet ser många fortfarande säkerhet ur ett ”compliance-perspektiv” och inte i relation till det specifika säkerhetshotet och de konsekvenser som ett säkerhetsbrott kan få för företaget och dess roll i samhället.
P-Secure hjälper företag att uppfylla några av kraven i de två direktiven, NIS2 och CER, med hjälp av en plattform som kan skapa automatisk bakgrundskontroll.
