Nyt EU-direktiv vil ramme mange direktioner som et godstog
Fra oktober 2024 pålægges mange danske topledere et større juridisk ansvar for, at deres organisationer lever op til NIS2-direktivets skrappe sikkerhedskrav. Alligevel hersker der en udbredt tendens til at undervurdere opgaven. Konsekvensen kan blive bøder på millioner af euro.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Om kun 14 måneder skal flere end 1.000 danske organisationer være klar med et it-forsvar, der er langt mere avanceret, end hvad de har i dag. Det gælder ikke bare rent teknisk, men også i forhold til sikkerhedspolitikker, procedurer, uddannelse og rapportering til myndigheder.
Direktivets juridiske krav er både komplekse og omfattende, og der er ingen tid at spilde. Alligevel kører udviklingen mange steder i slæbesporet. Ikke mindst fordi topledelsen er presset af andre store udfordringer – såsom høj inflation, mangel på arbejdskraft og usikre leverancer på grund af krigen i Ukraine. Desuden er det heller ikke usædvanligt, at it-sikkerhed (stadig) opfattes som en teknisk stabsfunktion, der ikke hører hjemme på direktionsgangen.
Det bliver dyrt at sove i timen
Der kan være gode grunde til, at NIS2-compliance prioriteres for lavt. Men hvad nytter de, når EU-hammeren falder? Min påstand er, at hvis denne mangel på initiativ fortsætter ret meget længere, vil NIS2 udvikle sig til et alvorligt problem for de organisationer, der kom for sent i gang.
Så bliver det ganske enkelt umuligt at nå i mål til tiden, og fra EU’s side er der med vilje skruet godt op for bøderammen: Helt op til 10 millioner euro og 2 pct. af den årlige globale omsætning. Det er gjort for at sikre, det ikke bliver billigere at betale bøderne end at overholde direktivet til tiden. På den baggrund er det naivt at tro, der kun er tale om tomme trusler.
It-sikkerhed ér en ledelsesdisciplin
Mit råd til direktioner og bestyrelser, som ønsker at intensivere deres NIS2-forberedelser, er først og fremmest at skaffe sig overblik over organisations sikkerhedsniveau og -modenhed ved at gennemføre en professionel security assessment.
Sørg dernæst for at skabe en klar, fælles forståelse af de krav, som direktivet stiller – evt. med hjælp fra en juridisk samarbejdspartner. Den viden vil ruste jer langt bedre til at stille de rette spørgsmål til jeres tekniske bagland og ud fra svarene lægge en sikkerhedsstrategi, som styrer jer direkte mod NIS2-compliance. Det kan f.eks. være spørgsmål som:
- Har vores medarbejdere adgang til flere netværksressourcer end nødvendigt?
- Er vores mest forretningskritiske systemer bedre beskyttet end dem, vi kan tåle at miste?
- Hvor hurtigt kan vi opdage og rapportere et angreb – worst case?
- Hvor hurtigt kan vores forretning komme i gang igen, hvis den lammes – worst case?
- Har vi en gennemtestet beredskabsplan i tilfælde af angreb?
NIS2 markerer et stort paradigmeskifte, og den vigtigste ændring er måske, at ledelserne i de berørte organisationer nu pålægges et juridisk ansvar. Det giver god mening, for it-sikkerhed ér i bund og grund risikostyring – og netop derfor et naturligt anliggende for topledelsen.
