Til daglig hjælper de virksomheder inden for kritisk infrastruktur med at løfte cybersikkerheden. Netop derfor var det væsentligt for SektorCERT at tage D-mærket og få et eksternt blik på egne processer – og så er det en bonus, at de kan inspirere medlemmer til at blive D-mærket. 

Cybersikkerhed er helt afgørende for, at danske husstande har adgang til rent drikkevand, varme og elektricitet. Alt fra vandværker til energiselskaber er nemlig som alle andre danske virksomheder løbende udsat for cyberangreb.  

Her står organisationen SektorCERT på den kritiske infrastrukturs side med hjælp til at skærpe sikkerheden og holde angrebene fra døren. Det gør de ved at monitorere trusler, tilbyde virksomhederne kurser, og dele viden blandt andet gennem rapporter og trusselsvurderinger.  

SektorCERT er de kritiske sektorers cybersikkerhedscenter, og derfor har de naturligt nok stor viden om cybersikkerhed og styr på processer og indsatser. Alligevel – eller netop derfor – var det væsentligt for dem at tage D-mærket, fortæller Lisbeth Bergholt, Community & Process Manager i SektorCERT.  

”Vi har ret godt styr på cybersikkerhed. Men det giver værdi at få nogle udefra til at se, om vi kan optimere vores strukturer. Samtidig har det været væsentligt for os at undersøge, hvilken værdi D-mærket giver, og om vi skal anbefale det til vores medlemmer – og det skal vi,” siger Lisbeth Bergholt.  

I forbindelse med D-mærkets tilsynsproces gransker SektorCERT sammen med D-mærkets auditorer virksomhedens systemer og processer. Og selvom de er hjemmevante i cybersikkerhed og har styr på egen praksis, har der alligevel været knapper at skrue på. 

”Nogle gange åbner eksterne øjne for at optimere. For os har det eksempelvis betydet, at vi er gået fra løbende awareness-træninger til i stedet at sætte et fast interval på hver tredje måned med fokus på specifikke emner. Så sikrer vi, at alle medarbejdere altid har den rette viden,” siger Lisbeth Bergholt. Hun understreger, at det også er en tankegang, som SektorCERT anvender i sin samtaler med medlemmerne.  

”Bundniveauet for vores medlemmer er højt. Så vi skal ikke forklare en CISO, hvad phishing er. Men det giver os godt input til, hvor vi hele tiden kan have en målrettet samtale med medlemmerne om cybersikkerhed.” 

D-mærket kan skabe værdi i mange virksomheder 

SektorCERT er én af flere europæiske Computer Emergency Response-Teams, og de er sat i verden for at øge kompetencen inden for cybersikkerhed i virksomheder inden for kritisk infrastruktur. Organisationen er oprindeligt et tiltag under Energistyrelsen og var i sin begyndelse i 2020 fokuseret udelukkende på energisektoren. 

I dag dækker de bredere. Medlemmerne er alt fra vandværker til transportvirksomheder af meget varierende størrelse. Lige fra en håndfuld til tusinde ansatte.  

Foruden kurser og videndeling tilbyder SektorCERT virksomhederne monitorering af trusler ved at opsætte sensorer på ydersiden af virksomhedernes firewall.  

Med data fra de mange sensorer kan de spore angrebsmønstre mod OT inden for dansk kritisk infrastruktur, fx produktionsmaskiner, vindmøller og elmaster. Det gør det samtidig muligt at advare medlemmerne om konkrete, aktuelle trusler.   

Udfordringerne er dog, at medlemsvirksomhederne er enormt forskellige. Det stiller krav til SektorCERTs ydelser. 

”Vi skal være bredt orienteret om, hvilke behov en stor energivirksomhed og et vandværk med fem medarbejdere har, og hvilke løsninger som kan fungere i de forskellige virksomheder,” siger Lisbeth Bergholt og uddyber: 

”Arbejdet med D-mærket har derfor været vigtigt for os i forhold til at se, om det er relevant for vores medlemmer. Nogle certificeringer er fx alt for omfattende for en virksomhed med en håndfuld ansatte. Her giver D-mærket virkelig god mening, fordi det tager sit udgangspunkt i virksomhedens egen risikoprofil, og samtidig er D-mærkets auditorer med til at sikre, at der konstant er fokus på at tiltagene fungerer i praksis og giver værdi for virksomheden.”  

På den baggrund vurderer hun, at D-mærket kan være et godt rammeværktøj til at styrke cybersikkerheden hos en lang række medlemmer. Både store og små virksomheder på tværs af kritiske sektorer. 

Væsentligt at få styr på processerne 

I arbejdet med D-mærket har SektorCERT ifølge Lisbeth Bergholt arbejdet særligt med strukturer og processer. De havde ganske vist allerede gode, udførlige procesbeskrivelser. Alligevel var det brugbart at se dem fra et nyt perspektiv.  

”Når processerne bliver kigget igennem af eksterne, så bliver det pludselig klart, at der er områder, der kan være for indforståede. En lille virksomhed kan fx have et godt overblik over antallet af Windows-computere og Macs, men glemmer de at strukturere processer med opdateringer af flåden, så opstår der problemer, når de vokser, og it-landskabet bliver mere komplekst,” siger Lisbeth Bergholt. 

Efter at have genbesøgt sine processer har SektorCERT nu en endnu bedre struktur og overblik. Og det hjælper, når de skal designe nye ydelser fra bunden. Her er der allerede klare rammer for, hvordan de skal forholde sig til cybersikkerheden og anvendelsen af data.  

Og det er en væsentlig pointe, understreger Lisbeth Bergholt:  

”D-mærket og sikkerhedsprocesserne skal være en del af den daglige drift. Det skal ikke være et stort enkeltstående projekt. Selvfølgelig får du støvet af i krogene, men det handler om løbende at holde orden – og ikke om at rydde op én gang om året.” 

Næsten tre fjerdedele af danske SMV’er oplever en sammenhæng mellem investeringer i cybersikkerhed og konkurrencefordele. Samtidig erklærer over halvdelen af virksomhederne sig enige i, at cybersikkerhed er vigtigt, når de vælger underleverandører. Det viser årets Cyberbarometer, som Industriens Fond står bag.

Den 30. november udkom Industriens Fond med det årlige landsdækkende Cyberbarometer, som tager temperaturen på cybersikkerheden i danske små og mellemstore virksomheder.

Cyberbarometret slår fast med syvtommersøm, at der er klar sammenhæng mellem virksomheders investeringer i cybersikkerhed og oplevede konkurrencefordele. Hele 72 procent af de adspurgte virksomheder oplever konkurrencefordele, når de investerer i cybersikkerhed. Jo flere cybersikkerhedstiltag de indfører, des flere konkurrencefordele oplever de.  

Investeringer i cybersikkerhed bør altså ikke kun være drevet af at bygge et stærkere værn mod en stigende cybertrussel eller at leve op til lovgivning. Der ligger stor forretningsmæssig værdi i at gribe cybertruslen proaktivt an, og det forstår flere og flere SMV’er.

“Ligesom sidste år ser vi en klar sammenhæng mellem cybersikkerhed og konkurrenceevne. Det understreger, hvor vigtigt det er at arbejde med cybersikkerhed som en integreret del af forretningsstrategien. Cybersikkerhed handler altså ikke kun om beskyttelse mod it-kriminalitet, men om at styrke sin forretning samt opnå og fastholde konkurrencefordele,” siger programchef for cybersikkerhed i Industriens Fond, Malene Stidsen. 

Cybersikkerhed prioriteres højt ved valg af underleverandør

Årets Cyberbarometer viser, at hele 61 procent af danske SMV’er mener, at cybersikkerhed er vigtigt eller meget vigtigt, når de vælger underleverandører. Som underleverandør er der altså klare konkurrencefordele at hente i arbejdet med at styrke cybersikkerheden – og i at kunne fremvise det arbejde, ikke mindst. Her har D-mærket værdi som synligt bevis i dialogen med kunder.

Konkurrencefordelene ved cybersikkerhed bliver kun større med de nye krav fra EU, som kommer i form af NIS2-direktivet i oktober 2024. Her skal samfundskritiske virksomheder leve op til strengere kriterier for databeskyttelse og it-sikkerhed. Ét af kriterierne er leverandørsikkerhed.

”Virksomheder, der bliver direkte omfattet af NIS2, kommer til at stille større krav til cybersikkerheden hos deres underleverandører. Det kan virke som en byrde – ja ligefrem skræmmende – men det rummer også et stort potentiale. Med skærpede krav følger også en mulighed for at distancere sig fra konkurrenter på cybersikkerheden og dermed springe mange pladser frem i leverandørkøen,” siger Mikael Jensen, direktør i D-mærket.

D-mærket er tilpasset virksomhedens virkelighed, så det ikke bliver en uoverstigelig opgave for små og mellemstore virksomheder at styrke cybersikkerheden og opnå en certificering for indsatsen. Start med D-mærkets gratis selvevaluering, som giver et overblik over virksomhedens it-sikkerhed, og hvor det er nødvendigt at styrke sikkerheden eller indføre nye initiativer. Du kan også booke et gratis opstartsmøde på D-mærkets hjemmeside, hvis du fx har nogen spørgsmål tidligt i processen eller ønsker yderligere vejledning.

Industriens Fond står bag D-mærket i samarbejde med Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk.

Om Cyberbarometeret

Cyberbarometeret belyser konkurrencefordelene ved investeringer i cybersikkerhed. Barometeret er baseret på en spørgeundersøgelse blandt danske små og mellemstore virksomheder. I undersøgelsen er cybersikkerhedstiltagene inddelt i tre forskellige former hhv. ‘Teknik’, ‘Forankring og styring’ samt ‘Rutiner og træning’. Ligeledes er konkurrencefordelene opdelt i kategorierne ‘Effektivitet og nytænkning’, ‘Tillid’ og ‘Bundlinje’.