Cybersikkerhed: NIS2 er mere end compliance – det handler om samfundets modstandskraft
Med NIS2-direktivet lige om hjørnet og en nylig underskrevet lov var timingen ideel, da DI Digital sammen med DI Forsvar og Sikkerhed fredag bød velkommen til konference om cybersikkerhed og de kommende krav til virksomheder. På talerstolen stod både Minister for samfundssikkerhed og beredskab, Torsten Schack Pedersen, og en række centrale aktører fra erhvervslivet og myndigheder.
DI’s politiske direktør Morten Høyer understregede i sin åbningstale: Digitaliseringen indebærer et ansvar, og med dette ansvar kommer en omkostning. Den omkostning manifesterer sig i form af nødvendige cybersikkerhedstiltag - og det er en nødvendig omkostning for at sikre vores samfund.
Ministeren for samfundssikkerhed og beredskab havde et klart budskab til forsamlingen:
“Hver eneste morgen vi vågner, gør vi det til en mere kompleks verden – og truslen er reel. Men med NIS2 får vi et solidt fundament for cybersikkerhed,” sagde Torsten Schack Pedersen.
Direktivet, der træder i kraft 1. juli, stiller nye krav til virksomheder, både i det private og offentlige. De omfattede virksomheder får tre måneder til at registrere sig – men ifølge ministeren, står myndighederne ikke klar med bødeblokken. Det handler om at komme i gang og kunne dokumentere, at man tager skridt i den rigtige retning.
“Det er min store forhåbning, at vi med NIS2 får bredt bevidstheden i omkring cybersikkerheden endnu mere ud, og at det på sigt bliver “license to operate” for virksomhederne,” sagde ministeren.
Et gennemgående tema for konferencen var, at cybersikkerhed ikke udelukkende er et juridisk spørgsmål om compliance. Det handler i lige så høj grad om ledelsesforankring, kultur og samarbejde.
Christian Wiese Svanberg fra DLA Piper fremhævede dog, at man som omfattet virksomhed skal have kortlagt sin egen digitale eksponering og sårbarheder, og at man har udtænkt en plan inden 1. juli – for den 2. juli kan det være for sent.
Christian pointerede yderligere, at NIS2 ikke vil komme til at fungere som et konkurrenceparameter, men som et nyt, ufravigeligt rammevilkår, hvor evnen til at dokumentere sine overvejelser og implementering bliver afgørende.
Flere af de spændende oplæg viste, hvordan virksomheder arbejder konkret med NIS2, Karsten Laursen IT-sikkerhedschef i Billund Lufthavn og Jacob Høedt Larsen fra Wired Relations understregede i deres oplæg, hvordan, det at have inkorporeret informationssikkerhed og risikovurderinger i deres politikker og processer hjælper dem med at være klar til kravene i NIS2-lovgivningen.
Leverandørstyring er både et af de vigtigste og sværeste krav i NIS2, Mikael Jensen fra D-mærket, fremhævede ved brug af en case med en D-mærket virksomhed, hvordan virksomheden havde brugt D-mærket til at få opstille minimumskrav fra en leverandør, så de matchede deres risikoprofil og undgik unødvendig overimplementering.
Afslutningsvis pegede et bredt panel med blandt andre Jacob Herbst fra Dubex, Claus Kraft fra TDC Erhverv og Morten Bro fra Styrelsen for Samfundssikkerhed på behovet for et stærkere og mere formaliseret samarbejde på tværs af sektorer.
NIS2 bliver ofte omtalt som en byrde – men enigheden blandt oplægsholderne var til at mærke: Direktivet kan og bør bruges som løftestang til at styrke hele samfundets digitale og fysiske modstandskraft.
