Kære leder, er du klar til NIS2-direktivet? For det er dit ansvar
Cybertruslen er en af de mest risikofyldte og forretningskritiske trusler, virksomheder står overfor. Derfor er det altafgørende, at der er strategier, politikker og konkrete planer for at sikre virksomhedens forretning, drift og overlevelse.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Alt for mange danske bestyrelser og direktioner kommer til kort, når det handler om cybersikkerhed. Dels fordi mange ikke føler sig tilstrækkeligt klædt på, dels fordi cybersikkerhed ofte anses som en opgave for IT og ikke for topledelsen.
Det er et problem, når EU’s nye Net- og Informationssikkerhedsdirektiv (NIS2) øger ledelsens personlige ansvar inden for cybersikkerhed ift. kritisk infrastruktur og kan i yderste konsekvens koste 10 mio. euro eller 2 pct. af virksomhedens samlede årsomsætning.
Cybertruslen er en af de mest risikofyldte og forretningskritiske trusler, virksomheder står overfor. Derfor er det altafgørende, at der er strategier, politikker og konkrete planer for at sikre virksomhedens forretning, drift og overlevelse. Men faktisk er de fleste virksomheder langt mere sårbare over for cyberangreb, end ledelsen er klar over. En undersøgelse fra World Economic Forum viser, at 92 pct. af virksomhedslederne oplever, at deres virksomhed er sikre, men kun 55 pct. af it-cheferne er enige.
For at opnå et passende sikkerhedsniveau – både teknisk og organisatorisk – skal cybersikkerhed stå lige så højt på ledelsens dagsorden som andre strategiske prioriteter. Især nu, da NIS2-direktivet bl.a. pålægger ledelsen at føre tilsyn med cybersikkerhed, og denne kan gøres ansvarlig for sit valg – eller fravalg.
Enhver bestyrelse og direktion bør derfor systematisk og løbende arbejde med risikostyring og -analyse, driftskontinuitet, leverandørsikkerhed samt basal cybersikkerhedstræning. Blandt de oplagte værktøjer er vejledninger fra Bestyrelsesforeningens Center for Cyberkompetencer samt verdens mest anvendte ledelsesstandard for informationssikkerhed, ISO 27001, der er obligatorisk for statslige myndigheder i Danmark.
Standarden fjerner naturligvis ikke cybertruslen, men den giver ledelsen de nødvendige redskaber til at håndtere trusler og komme på forkant med NIS2-direktivet.
Ledelsesredskaberne findes altså, de skal bare bruges. Ellers risikerer man ikke blot særdeles omkostningsfulde konsekvenser – i værste fald er det virksomhedens overlevelse, der er på spil.
