Dette er en kommentar: FINANS bringer løbende kommentarer fra specialister og meningsdannere. Alle kommentarer er udtryk for den pågældende skribents egen holdning.
Debat

Myndighedernes nøl med sikkerhed kan koste Danmark dyrt

EU har vedtaget et nyt direktiv, der skal hæve bundniveauet i alle medlemslande på sikkerhedsområdet – både fysisk og digitalt for at sikre produktion, sundhedssektor, energiforsyninger og banker m.m. Men indtil myndighederne kommer med en plan for, hvordan danske organisationer skal leve op til direktivet, er vi stadig på status quo.

Christian Rutrecht security specialist i Fortinet
Christian Rutrecht

EU-direktivet NIS2 er på vej, og allerede nu frygter danske organisationer, at implementeringen kommer til at minde om, da GDPR kom til Danmark. Da ventede virksomheder i flere måneder på at få klarhed over de danske lovkrav, hvilket betød, at virksomhederne enten overinvestererede i at afdække konsekvenser eller udskød beslutningen - og kom for sent i gang, med bøder til følge. 

Nu har myndighederne chancen for at spare organisationer for penge og hovedpiner ved at melde klart og tydeligt ud om NIS2 i Danmark. For en sikkerheds skyld.

Og NIS2 er vigtigt for danske organisationer. Op mod 48 pct. af danske virksomheder har oplevet sikkerhedsbrister inden for it. Og på verdensplan er ransomware-hændelser eksponentielt steget med en faktor 10, med konsekvenser for blandt andet OT-infrastruktur. Derfor har NIS2 også et særligt fokus på at hæve især IT-sikkerheden - både rent operationelt og i opretholdelsen af en sikker produktion, samt bekæmpelsen af cyber-kriminalitet. 

Effektiv implementering hos store og små 

De fleste virksomhedsejere har nok hørt betegnelsen NIS2 før – og har man ikke, er det kort fortalt en ny version af ’Net- og Informationssikkerhedsdirektivet’, der efterfølger NIS1. NIS2 skal sikre den danske infrastruktur og samfundskritiske tjenester mod nedbrud og cybertrusler, som eksempelvis dét, DSB oplevede i november i år, da tog stod stille pga. hackerangreb, eller som Vestas oplevede i 2021. 

Dette skal ske via et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af alle EU-lande. NIS2 har været undervejs i flere år, men processen har for alvor taget fat over det seneste år, da geopolitiske forhold, særligt krigen mellem Rusland og Ukraine, har tydeliggjort behovet for en langt mere homogen sikkerhedspolitik i EU – og en mere effektiv implementering. 

Det betyder også, at pisken, frem for guleroden, pt. er spændt foran NIS2 i EU-regi. Bøder på op mod 10 millioner euro kan gives, og både ledelse og bestyrelser kan holdes til ansvar og straffes med bøder, fyringer og fængselsstraf. 

Om det også bliver linjen i Danmark og hvem, der skal føre opsyn, ventes der spændt på – blandt andet fordi de danske virksomheder kun har 21 måneder til implementeringen af det nye direktiv frem mod efteråret 2024. Det vil blandt andet ske ved at NIS2 vil udvide omfanget af organisationer og skelne mellem ”essentielle entiteter” og ”vigtige entiteter”.

Omfanget af sektorer udvides, så alle organisationer, der varetager vigtige funktioner i samfundet, er bedre beskyttet mod sikkerhedsnedbrud. Dette betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering, hele forsyningskæden og sundhedssektoren. Med andre ord er NIS2 et minimumsharmoneringsperspektiv for sikkerhed ud fra præmissen om, at kæden ikke er stærkere end sit svageste led. Så nu går vi kæden efter i alle led, indtil den er stærkere og mere solid.

Beskyttelse på eget ansvar  

Men hvad er det så man skal leve op til for at være NIS2-parat inden efteråret 2024? I en dansk kontekst ved vi det ikke, før vi har den danske plan offentliggjort fra myndighederne. Desværre. Men grundlæggende i forhold til direktivet bliver man som dansk organisation ansvarlig for, at sikkerheden i hele forsyningskæden er NIS2-compliant. Det gælder både private og offentlige organisationer. 

Det kræver et stort stykke systematisk due diligence-, rapporterings-, og ledelsesfokus – og vil for langt de fleste danske virksomheder skabe et behov for at oprette helt nye afdelinger, workstreams og samarbejdspartnere. Men indtil den danske plan ligger klar, er det kun en rettesnor.  

NIS2 er ikke enden på sikkerhedsoprustningen i EU. Der er allerede flere sikkerhedsdirektiver på bordet. Man arbejder aktivt på DORA-direktivet, der har fokus på rescilliance, altså modstandsdygtigheden, ligesom der er arbejde i gang for at styrke den konkrete fysiske sikkerhed for medlemslandenes organisationer. 

For danske organisationer er det væsentligste at have i baghovedet, når man går i gang med NIS2, planlægningen. Øget sikkerhed på alle niveauer, og i alle kæder, er kommet for at blive, og det bliver både driftsmæssigt og strategisk essentielt i de kommende mange år, samt et vigtigt konkurrenceparameter. Så uanset om man er i gang, godt dækket ind, eller på bar bund, når det kommer til at sikkerhedsniveauet i sin virksomhed i dag, kan man godt vænne sig til, at kravene stiger hurtigt.

Fem gode råd til, hvordan man kommer godt i gang med NIS2 

  1. Foretag en GAP-analyse ift. hvilke standarder man allerede lever op til, f.eks. ISO, og hvad der så mangler ift. NIS2
  2. Påbegynd etableringen af en sikkerhedspolitik, hændelsesplan og kontinuitetsplan
  3. Undersøg med den kommende, nationale danske fortolkning af NIS2, hvilke krav der stilles til virksomheden og dennes profil
  4. Opstil en budgetplan ud fra GAP-analysen og de manglende indsatsområder, som identificeres, for at få det optimale ud af investeringerne
  5. Husk kontinuitet. NIS2 er et regulativ, som vil eksistere eller skal inkorporeres i virksomheden eller organisations strategi og planlægning fremadrettet.

IT-sikkerhedsekspertise bliver afgørende for succes 

Hvis du ikke allerede er gode venner med din it-sikkerhedschef eller har en ekstern it-sikkerhedsrådgiver tilknyttet, skal du til at overveje at handle. For med NIS2 er der mange steder, IT-sikkerheden skal strammes op og for nogle udbygges. Fokusområder bør være først og fremmest at få styr på at:

  • Sikre infrastrukturen i virksomheden
  • Etablere en hændelses- og kontinuitetsplan for en kritisk hændelse
  • Sikre de endepunkter, medarbejdernet arbejder på, og implementere awareness-træning om virksomhedens politiker og trusler
  • Tænke sikkerhed ind fra start af alle dele af virksomheden og alle former for virksomheder
  • ”Buy Smart”, så komponenter fra en leverandør kan passe ind i et større hele
  • Have rapporteringsværktøjer; ideelt set med centralkontrol af alle løsninger
Læs mere om

Top job

Forsiden lige nu

Anbefalet til dig

Christian Rutrecht
security specialist i Fortinet

Giv adgang til en ven

Hver måned kan du give adgang til 5 låste artikler.
Du har givet 0 ud af 0 låste artikler.

Giv artiklen via:

Modtageren kan frit læse artiklen uden at logge ind.

Du kan ikke give flere artikler

Næste kalendermåned kan du give adgang til 5 nye artikler.

Teknisk fejl

Artiklen kunne ikke gives videre grundet en teknisk fejl.

Ingen internetforbindelse

Artiklen kunne ikke gives videre grundet manglende internetforbindelse.

Denne funktion kræver Digital+

Med et Digital+ abonnement kan du give adgang til 5 låste artikler om måneden.

ALLEREDE ABONNENT?  LOG IND

Denne funktion kræver abonnement

Med et abonnement kan du lave din egen læseliste og læse artiklerne, når det passer dig.

ALLEREDE ABONNENT?  LOG IND

Teknisk fejl

Artiklen kunne ikke tilføjes til læselisten, grundet en teknisk fejl.

Forsøg igen senere.

Del artiklen
Relevant for andre?
Del artiklen på sociale medier.

Du kan ikke logge ind

Vi har i øjeblikket problemer med vores loginsystem, men vi har sørget for, at du har adgang til alt vores indhold, imens vi arbejder på sagen. Forsøg at logge ind igen senere. Vi beklager ulejligheden.

Du kan ikke logge ud

Vi har i øjeblikket problemer med vores loginsystem, og derfor kan vi ikke logge dig ud. Forsøg igen senere. Vi beklager ulejligheden.