Cybersikkerhed: Det handler ikke kun om at overholde loven
Om et år skal danske virksomheder leve op til helt nye krav til cybersikkerhed. Mange tøver og afventer den endelige danske lovgivning, men der er adskillige grunde til, at indsatsen bør starte allerede nu.
Af: Casper Klynge, vicedirektør i Dansk Erhverv, Andreas Holbak Espersen, digitaliseringspolitisk chef, Dansk Industri, Malene Stidsen, programchef i Industriens Fond, Pernille Birch, økonom, SMVdanmark, og Mikael Jensen, direktør i D-mærket
Der var panik på de danske ledelsesgange i 2018 i dagene op til, at GDPR-forordningen trådte i kraft. I virksomhederne var man i vildrede over, hvad man reelt skulle gøre for at leve op til kravene.
Historien gentager sig i øjeblikket. Om et år træder EU’s nye direktiv for cybersikkerhed, NIS2, i kraft, og der er endnu ingen svar på, hvordan den danske lovgivning kommer til at se ud. Godt 1.000 samfundskritiske virksomheder bliver direkte omfattet og skal leve op til skrappere regler. Samtidig bliver tusindvis af virksomheder indirekte omfattet i form af deres rolle som underleverandører.
Begge grupper famler i øjeblikket i blinde. En analyse fra Industriens Fond viste inden sommer, at 70 procent af de omfattede virksomheder i mindre grad eller slet ikke lever op til samtlige af NIS2-direktivets krav. Og flere end hver femte er i tvivl, om de bliver berørt.
Samtidig giver mange virksomheder udtryk for, at de venter med at forberede sig på kravene, før de ved, hvordan lovgivningen præcis kommer til at se ud i Danmark.
Ingen hurtige løsninger
Det er legitime overvejelser, men virksomheder bør alligevel gå i gang allerede i dag. Dels fordi cybertruslen konstant bliver større og mere avanceret. Dels fordi efterlevelse af NIS2 ikke er et quick fix.
Med direktivet er der eksempelvis krav til styring og forankring i ledelsen, men også 10 overordnede minimumskrav, hvor bl.a. forsyningskædesikkerhed kan være omfattende at implementere, og så kan 12 måneder frem mod deadline hurtigt forsvinde mellem hænderne.
Virksomheder kan derfor allerede nu arbejde ud fra direktivets eksisterende minimumskrav, for uanset hvordan den danske lovgivning kommer til at se ud, vil den gælde for alle, der bliver direkte omfattet af direktivet.
Gavner også virksomheden
Positivt er det dog, at arbejdet ikke kun behøver være en sur pligt, som handler om at leve op til direktivet for direktivets skyld. Indsatsen både styrker forsvaret mod de cybertrusler, der har enorme økonomiske implikationer for en virksomhed og giver mærkbare konkurrencefordele.
Sidste år viste analysen Cyberbarometeret, der bygger på besvarelser fra 729 SMV’er, at jo flere sikkerhedstiltag en virksomhed indfører, jo flere konkurrencefordele oplever de. Det kommer eksempelvis til udtryk i større tillid fra investorer, større innovation og bedre evne til at tiltrække nye kunder og kompetente medarbejdere.
NIS2-direktivet kan med andre ord være et godt afsæt til at styrke cybersikkerheden og hente konkurrencefordele. Og i modsætning til for fem år siden med GDPR, så er der hjælp at hente hos mærkningsordningen D-mærket. Hvis virksomheder ikke lever op til D-mærket, så lever de heller ikke op til NIS2.
D-mærket følger NIS2
Med D-mærket kan virksomheder sikre, at de lever op til minimumskravene i NIS2, hvis de har brug for det. Med mærkningsordningen kan virksomheder altså allerede i dag arbejde med de initiativer og tiltag, der sikrer efterlevelse til oktober næste år. Bag certificeringen står Industriens Fond i samarbejde med Dansk Erhverv, Dansk Industri, SMVdanmark og Forbrugerrådet Tænk.
I takt med at myndighederne lægger sig fast på, hvordan direktivet skal implementeres i Danmark, bliver D-mærket løbende tilpasset, så certificerede virksomheder kan have tillid til og ro i maven over, at de med D-mærket lever op til de nye krav.
Dermed er der heller ingen undskyldning for ikke at gå i gang med at styrke cybersikkerheden. Hverken hvis ambitionen blot er at leve op til kravene i NIS2, eller hvis virksomheder bruger direktivet som anledning til at styrke sit forsvar mod de stadigt tiltagende cybertrusler og derigennem styrke sin konkurrenceevne.