Med stigende cyberangreb fra organiseret kriminalitet udgør statlige og halvstatlige cyberangreb en trussel mod offentlige institutioner og virksomheder. Ud over kritisk infrastruktur (KRITIS) bliver også små og mellemstore virksomheder (KMU) i stigende grad ofre for sabotage og industrispionage.
Loven kræver, at virksomheder rapporterer om cyberangreb for at forbedre risikohåndteringen. Efter kun 72 timer skal virksomheder underrette tilsynsmyndighederne om enhver krænkelse af fortrolighed, integritet eller tilgængelighed af data. Der er ingen minimumsgrænser for antallet af berørte datasæt. Virksomhederne skal også informere berørte personer og anbefale risikobegrænsende foranstaltninger.
I KRITIS-sektoren kræves det, at operatører af KRITIS underretter myndighederne ved alvorlige sikkerhedshændelser. Desuden stilles der strengere krav til informations- og kommunikationsteknologier (IKT) og digitale tjenester.
Dette betyder, at der nu bliver stillet skærpede krav til risikostyring og personligt ledelsesansvar. Den øgede regulering bekræfter skiftet fra individuel selvforsvar til en kollektiv og reguleret tilgang til cybersikkerhed.
For at imødekomme disse krav, skal virksomhederne foretage betydelige organisatoriske, økonomiske og teknologiske indsats. Især er der behov for styrkede governance-strukturer og en effektiv styrkelse af sikkerhedsniveauet i KRITIS-sektorerne.
Endvidere kan man forvente kollektive retshåndhævelser på grund af den udvidede cyber-regulering til forbrugernes fordel. Dette skaber behov for robuste og skalerbare løsninger for at imødekomme den brede efterspørgsel inden for cybersikkerhedsområdet.
Artiklen er skrevet af Rechtsanwalt Dr. Alexander Duisberg, partner hos Ashurst i München og leder af Digital Economy Praksis i Tyskland. Dr. Duisberg har ekspertise inden for teknologirelaterede emner som digital transformation, IT- og datadrevne forretningsmodeller, transaktionsmæssig databeskyttelse, cybersikkerhed, kunstig intelligens (KI), Internet of Things og Industri 4.0.
Artiklen fremhæver behovet for en stærk forankring af leverandører inden for cybersikkerhedsområdet i Europa for at kunne agere autonomt og effektivt på lang sigt.