Nye strenge EU-krav til cybersikkerhed kan bringe SMV’er forrest i leverandør-køen

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

Der kan blive vendt op og ned på konkurrencesituation for tusindvis af danske virksomheder frem mod en dato om præcis ét år - den 17. oktober 2024. Hér træder EU’s direktiv for it-sikkerhed, NIS2, nemlig i kraft. Godt 1.000 virksomheder, som er vurderet som samfundskritiske, bliver direkte omfattet af direktivet og skal derfor leve op til en række kriterier for databeskyttelse og it-sikkerhed.

Ét af kriterierne er leverandørsikkerhed, og det kommer til at få betydning for langt flere end de 1.000 virksomheder, navnlig deres underleverandører. Virksomheder, der bliver direkte omfattet af NIS2, kommer nemlig til at stille nye, større krav til it-sikkerheden hos deres samarbejdspartnere for at undgå bødestraf. Og det kommer de utvivlsomt til at gøre, for bødestraffene bliver markante.

Virkningerne af NIS2 kommer dermed også til at ramme mindre virksomheder. Hér kan udsigten til at leve op til skrappere regler for it-sikkerhed virke som en byrde – ja ligefrem skræmmende – men den rummer også et stort potentiale.

Med skærpede krav følger nemlig også en mulighed for at distancere sig fra konkurrenter på it-sikkerheden og dermed springe mange pladser frem i leverandørkøen.

Muligheden er markant, viser en ny rapport fra Digitaliseringsstyrelsen, som baseret på tal fra Danmarks Statistik årligt tager temperaturen på den digitale sikkerhed i danske SMV’er. Hele 35 procent af de små og mellemstore virksomheder har et for lavt sikkerhedsniveau i forhold til deres risikoprofil, og det betyder, at de virksomheder, som arbejder aktivt med it-sikkerhed, kan få store forspring foran de mange konkurrenter, som ikke gør.

Det kræver selvsagt, at virksomheden arbejder aktivt med it-sikkerhed ud fra de krav, NIS2 stiller. Her må det ikke blive en sovepude eller hindring, at vi stadig mangler at se den endelige danske udmøntning af NIS2 – altså hvordan kravene reelt håndhævet i Danmark, og hvilke virksomheder de kommer til at omfatte.

Leverandørers mulighed for at styrke egen konkurrenceevne er så stor, at det er nødvendigt at komme i gang med det samme. Der kan være konkrete kontrakter og ordrer at vinde eller tabe allerede nu. For de virksomheder, som bliver direkte omfattet af NIS2, skal nemlig leve op til kriterierne til oktober næste år. Derfor begynder de unægtelig allerede i løbet af få måneder til at gå værdikæden efter i sømmene og tage et kritisk blik på sikkerheden hos underleverandører.

Motivationen bør altså være tårnhøj for at hæve sikkerheden i mange danske SMV’er. Men det rejser det åbenlyse spørgsmål: Hvordan kommer vi i gang?

Først og fremmest bør ledere se på de grundlæggende krav i NIS2. For mens der endnu ikke er en dansk udmøntning, er der stadig mulighed for at danne sig et overordnet indtryk af, hvor it-sikkerheden skal løftes for at overholde direktivet.

Dernæst er mærkningsordningen D-mærket et godt afsæt til at arbejde aktivt med it-sikkerhed. Der er tale om en dansk mærkning, som Industriens Fond står bag i samarbejde med Dansk Erhverv, Dansk Industri, SMVdanmark og Forbrugerrådet Tænk, og som blev lanceret i 2021.

Kriterierne i D-mærket flugter med de umiddelbare krav i NIS2 og bliver løbende tilpasset den danske udmøntning. Hvis virksomheder ikke lever op til D-mærkets krav om it-sikkerhed, så lever de heller ikke op til NIS2. Derfor giver det virksomheder et pejlemærke at arbejde efter. Grundlæggende handler det for SMV’er om at vende forståelsen af it-sikkerhed fra at være en nødvendig omkostning til at være en investering, som skaber værdi. Industriens Fonds Cyberbarometer har bevist, at virksomheder oplever konkurrencefordele for hvert cybersikkerhedstiltag, de indfører. Og det kommer NIS2-direktivet til at vise med al tydelighed, når vi skriver oktober 2024.