NIS2-direktivet træder i kraft i dansk lovgivning til oktober 2024. I artiklen kan du læse hovedbudskaberne fra konferencen i sidste uge. Hvis du missede konferencen, kan du se en videooptagelse her.

Arbejdet med cybersikkerhed skal forankres i virksomhedsledelsen

Branchedirektør Rikke Hougaard Zeberg kom i sin tale ind på, at virksomhedsledelsen har en særlig rolle at spille, når det gælder cybersikkerhed – ikke bare fordi det er et krav i NIS2, at cybersikkerhed forankres i ledelsen, men også fordi NIS2 går på tværs af jura, it-teknik og forretningen. Det er derfor afgørende, at ledelsen involveres fra starten af i processen henimod at leve om til NIS2-kravene. Budskabet til myndighederne var bl.a., at det haster med vejledning fra deres side.

Kom i gang nu – der er hjælp at hente i NIS2 vejledningsuniverset og hos D-mærket

Selvom det stadig ikke er besluttet, hvordan NIS2-direktivet skal implementeres i dansk lovgivning, er det en god idé at gå i gang med at forberede sin virksomhed allerede nu.

Med etableringen af NIS2 vejledningsuniverset kan virksomheder nu få vejledning, der afspejler minimumskravene i direktivet samt viden om, hvilke virksomheder og sektorer, der bliver omfattet af direktivet. Det er også muligt at sende spørgsmål ind om NIS2, og se typiske spørgsmål og svar om direktivet.

Vejledningsuniverset er udviklet i samarbejde med KPMG, og formålet er at give virksomheder og underleverandører konkret og anvendelig vejledning med skabeloner og tjeklister, som i første omgang afspejler minimumskravene i direktivet. Vejledningerne og skabelonerne vil løbende blive opdateret og suppleret i takt med, at vi kender mere til den nationale implementering. Myndighederne har nemlig endnu ikke besluttet hvordan direktivets skal implementeres i Danmark.

Vejledningsuniverset kan tilgås her

Der er desuden mere hjælp at hente hos D-mærket, som kan bruges til at leve op til NIS2-kravene. Mikael Jensen, direktør hos D-mærket, fremhævede på konferencen, hvordan virksomheder der er D-mærket kan vise og dokumentere, at virksomheden har styr på it-sikkerhed og ansvarlig dataanvendelse. D-mærket vil følge udviklingen i den nationale implementering og tilpasse D-mærkets kriterier, hvis der er brug for det.

Analyse af Industriens Fond: Flere små virksomheder bliver omfattet - SMV’erne er udfordret

Malene Stidsen, der er programchef for Industriens Fonds Cybersikkerhedsprogram, præsenterede desuden en analyse til konferencen, som konsulenthuset IRIS Group har udført for Industriens Hus, og som kortlægger virksomhedernes modenhed i forhold til efterlevelse af kravene i NIS2-direktivet.

Analysen viser, at direktivet vil ramme bredt i dansk erhvervsliv, når det er fuldt implementeret i slutningen af 2024. Bemærkelsesværdigt er, at 1/3 af de omtrent 1100 virksomheder, der forventes at blive omfattet, ikke lever op til de størrelsesrelaterede minimumskrav i direktivet, men alligevel ser ud til at blive omfattet pga. deres kritiske rolle for offentligheden eller folkesundheden. Mange mindre virksomheder og underleverandører vil altså blive berørt at NIS2-direktivet.

Og særligt de mindre virksomheder, som ser ud til at blive berørt af direktivet, halter efter, når det kommer til efterlevelsen af kravene. Analysen af Industriens Fond viser nemlig, at det blandt de store virksomheder er 36%, som på nuværende tidspunkt lever op til alle direktivets krav, mens det samme kun gælder for 25% af de små virksomheder.

Den aktuel analyse fra Industriens Fond viser, at særligt virksomheder indenfor fødevaresektoren, digital infrastruktur og spildevand er udfordret ift. at leve op til kravene, se billede nedenfor.

Flere cybersikkerhedstiltag skaber større konkurrencefordele

Malene Stidsen fremhævede desuden, at en god grund til at forberede sin virksomhed på NIS2, og derved arbejde med og investere i cybersikkerhed, er at virksomheder, der implementerer i cybersikkerhedstiltag, oplever substantielle konkurrencefordele.

Blandt virksomheder, der allerede har implementeret 1-3 cybersikkerhedstiltag, rapporterer 20% af virksomhederne, at de som resultat af tiltagene har oplevet konkurrencefordele. Til sammenligning angiver hele 87% af virksomheder, der har indført 13-15 tiltag, at de oplever konkurrencefordele. Virksomhederne oplever bl.a., at de differentierer sig fra øvrige virksomheder på markedet, mens cybertiltagene også skaber tillid til investorer og grobund for effektivitet og nytænkning i virksomheden. Læs mere på Cyberbarometer.dk

Formålet med NIS2 er at styrke vores fælles kritiske infrastruktur

Helle Brun Næsager, der er afdelingschef hos Center for Cybersikkerhed (CFCS), som er den myndighed der har ansvar for at koordinere NIS2-implementeringen i dansk lovgivning, gav desuden en indføring i baggrunden for direktivet samt en status på implementeringen af direktivet i dansk lovgivning.

Med krigen i Ukraine står vi overfor et helt nyt trusselsbillede. Helle Næsager fremhævede, at CFCS i deres seneste nationale trusselsvurdering fra februar 2023 vurderede, at truslen fra cyberkriminalitet og cyberspionage er meget høj samt at truslen fra cyberaktivisme vurderes til høj.

Budskabet fra hende var derfor – enslydende med de øvrige oplægsholderes; kom i gang med forberedelserne til direktivets krav tidligt – og sørg for at få arbejdet med cybersikkerhed forankret i ledelsen.