Nye EU-krav gør cybersikkerhed til en brændende platform for danske virksomheder

En noget overset nyhed i mediebilledet er indførslen af nye massive it-sikkerhedskrav fra EU, der har lige så omfattende konsekvenser for danske virksomheder, som GDPR havde i 2018.

Det nye EU-direktiv, NIS2, udvider antallet af virksomheder, der defineres som kritisk infrastruktur markant. Dermed skal over 1400 danske virksomheder implementere en række omfattende sikkerhedsforanstaltninger, som i høj grad går på at forebygge og minimere konsekvensen ved cyberangreb.

Det gælder naturligvis ens egen virksomhed, men også hele ens værdikæde. Kravene er ikke endeligt formuleret endnu, men allerede i 2024 skal virksomhederne efterleve dem. Ellers vanker der millionstore bøder på op til 75 mio. kr. eller 2 pct. af virksomhedens omsætning – alt efter hvad der er højest. EU forventer, at de virksomheder, der skal leve op til NIS2-sikkerhedsdirektivet skal øge deres it-investeringer med 20-30 pct.

Omfanget af virksomheder, der nu blive defineret som kritisk infrastruktur, tæller bl.a. dele af detailhandlen samt en række fødevareproducenter, restauranter og transportvirksomheder. Nogle vil mene, at EU’s definition er for bred. Men det er faktisk blot et udtryk for det faktum, vi som leverandører af cybersikkerhedsløsninger er pinligt bevidste om: At alle er forbundet i det digitale økosystem, og at ingen derfor er stærkere end det svageste led i kæden. Bliver en enkelt virksomhed kompromitteret, kan det potentielt sætte en kædereaktion i gang. Og risikoen er helt konkret: Hvis de rette sikkerhedsforanstaltninger ikke er på plads, kan hele forretningen være væk i morgen, når og ikke hvis angrebet rammer.

NIS2-direktivet har mange konkrete konsekvenser for danske virksomheder. Jeg vil her fremhæve to af de, i mine øjne, væsentligste:

For det første må spørgsmålet om IT-sikkerhed endegyldigt være landet på topledelsens og bestyrelsens bord. Det er mit indtryk, at alt for mange virksomheder stadig ikke tager spørgsmålet om cybersikkerhed alvorligt nok på c-suite- og bestyrelsesniveau. Det er en fejl. Cybersikkerhed er forretningskritisk, og her har EU nu fundet pisken i stedet for guleroden frem.

Med de nye EU-krav er cybersikkerhed ikke længere blot et spørgsmål om at beskytte sig mod en trussel fra cyberspace, der for mange virksomheder stadig kan være svær at forholde sig til. Nej, nu kan det koste direkte på bundlinjen ikke at leve op til kravene, og derfor er der ingen vej uden om at forholde sig til svære IT-sikkerhedsmæssige spørgsmål. Særligt fordi NIS2 forankrer ansvaret på ledelsesniveau for at cyberrisikoen bliver identificeret og håndteret samt, at NIS2-kravene overholdes.

For det andet kan det blive et reelt problem at finde de rette kompetencer til at løfte opgaven i de enkelte virksomheder. Manglen på helt generelle IT-kompetencer i samfundet er fuldt ud dokumenteret. Specialist-kompetencer inden for IT-sikkerhed kan være endnu sværere at finde. Det stiller også krav til os leverandører af it-sikkerhed og rådgivning.

Det er vores ansvar at kunne rådgive og tilbyde sikkerhedsløsninger, der er tilpasset til NIS2-krav og gøre det implementerbart i virksomhedernes infrastruktur, systemer og arbejdsgange. Helst ser jeg, at dette sker i samarbejde med andre typer rådgivere som revisorer og advokater, så vi står sammen om at hjælpe NIS2-omfattede virksomheder videre i alt fra fortolkning af direktivet til konkret implementering af nye sikkerhedsforanstaltninger.

En ting er hvert fald sikkert: Cybersikkerhedstruslen bliver ved at stige og angrebene bliver mere avancerede og sofistikerede. Derfor kommer et tog lastet med IT-sikkerhedskrav nu buldrende fra Bruxelles. Hvis de over 1400 danske virksomheder skal nå at hoppe ombord i 2024, skal topledelsen vågne op, påtage sig ansvaret og finde de nødvendige ressourcer til implementering – enten internt eller eksternt. Ellers kan de risikere at blive efterladt på perronen med risiko for både millionbøder og ikke mindst cyberangreb.