Hvorfor bør din virksomhed arbejde strategisk med cybersikkerhed?
Cyberangreb er en betydelig risiko for virksomheder, og trusselniveauet spås til at blive endnu højere i fremtiden. Lige netop det høje trusselsniveau har udmundet sig i et nyt cybersikkerhedsdirektiv fra EU: NIS2. Her kan du læse, hvad du bør vide om de nye regler.
Det er kun et spørgsmål om tid, før jeres virksomhed rammes af et cyberangreb, og langt hovedparten af danske virksomheder er ikke tilstrækkelig beskyttet eller forberedt.
Dette var et af Christel Teglers’ budskaber, da hun besøgte vores juridiske morgenbriefing netværk i november måned. Til daglig er Christel Teglers cybersikkerhedsekspert og partner i Kromann Reumert.
Kommende juridiske morgenbriefing:
Greenwashing og direktivforslaget ”Green Claims”: Hvilken betydning vil Green Claims få for danske virksomheder? Hvordan ser reglerne ud sammenlignet med Forbrugerombudsmandens kvikguide til miljømarkedsføring? Og hvordan forbereder I jer bedst muligt på de nye krav?
På næste juridiske morgenbriefing den 30. januar 2024 vil Ulrika Folkmann-Schjerbeck, advokat og partner i Liga Law, fortælle om nuværende og kommende regler for jeres miljømarkedsføring
Udvalgte sektorer
NIS2-direktivet finder anvendelse på store og mellemstore virksomheder inden for særligt kritiske og andre kritiske sektorer. I skemaet neden for kan I se, hvilke sektorer der er omfattet. Senest den 17. april 2025 skal de danske myndigheder have udarbejdet og indberettet en liste over virksomheder og myndigheder, der bliver direkte omfattet af NIS2 til EU-Kommissionen og en NIS2-samarbejdsgruppe. I bilag til direktivet kan I se de sektorer, der er udpeget som kritiske sektorer.
Læs også Cybersecurity er en konkurrencefordel for virksomheder
Krav til virksomheder, der er omfattet
Christel Teglers anførte, at man overordnet kan opdele de nye regler i fire kategorier, som uddyber, hvilke krav der vil blive stillet til jeres virksomhed, hvis I bliver omfattet:
Hvis ikke din virksomhed bliver direkte omfattet af reglerne, kan det alligevel være en god idé at skele til kravene under ”Basal cybersikkerhed” og ”Ledelse, risikostyring, governance og træning”, da kravene er udtryk for risikostyring og risikohåndtering i tilfælde af cyberangreb i virksomheden.
Hvad nu?
NIS2 er et direktiv, og det skal derfor implementeres i dansk lov. Forsvarsministeren forventes at fremsætte et lovforslag om implementering af NIS2-direktivet i februar 2024. Ministeren forventes også at fremsætte to love, som skal regulere cybersikkerhed i energisektoren og den finansielle sektor.
Fem gode råd til implementering af NIS2
Christel Teglers gav fem gode råd til implementering af NIS2:
- Se på risikostyring som et operationelt område, der går på tværs af fag- og risikoområder.
- Nedsæt en projektgruppe i jeres virksomhed på tværs af organisationen, der skal arbejde med dette. Større organisationer har typisk brug for en projektleder til planlægning, koordinering og implementering.
- Lave en top-down analyse af den nuværende tilgang til digital risikostyring, f.eks. inden for seks områder, og et samlet overblik over alle aktiviteter.
- Prioritér at få lavet et overblik af de væsentligste risici i kunde- og leverandørlandskabet.
- Forbered en ledelsesmæssig stillingtagen til, hvad risiko er, hvornår risiko er væsentlig/uvæsentlig, hvordan risici kvantificeres/kvalificeres og hvem-gør-hvad-hvornår-og-hvordan (dette skal bestyrelsen involveres i og i sidste ende godkende).
