Erhvervsorganisationer: Sådan undgår virksomheder at fare vild i nye EU-regler om cybersikkerhed
Kronik i Børsen:
Rigtig mange virksomheder får travlt med at leve op til et kommende EU-direktiv om it-sikkerhed, der stiller strengere og større krav.
Lad os starte med de kælderkolde fakta: Truslen om cyberangreb er en udfordring, der desværre er kommet for at blive.
Nye tal peger på, at det samlede antal globale cyberangreb steg med næsten 40 pct. fra 2021 til 2022. Udover at mængden af angreb er stigende, bliver de aktører, der vil os det ondt, også bedre og bedre.
Angrebene bliver simpelthen mere sofistikerede. Det er en kolossal udfordring for offentlige myndigheder, civilsamfundet og for det private erhvervsliv.
Alene sidste år blev flere end halvdelen af alle danske virksomheder ramt af et cyberangreb. Det er derfor en omfattende og omsiggribende udfordring, der i den grad påvirker danske virksomheder, hvad end man har været udsat for er decideret cyberangreb eller ej. Antallet af tilfælde taler for sig selv.
Beskyttelsesniveauet skal med andre ord op.
Virksomheder får travlt
Om 20 måneder træder EU’s Net- og Informationssikkerhedsdirektiv (NIS2) i kraft, og tusindvis af danske virksomheder skal leve op til omfattende krav til it-sikkerhed.
NIS2-direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet for at harmonisere og strømline sikkerhedsniveauet på tværs af EU’s 27 medlemslande.
De skærpede krav betyder, at organisationer skal forholde sig til blandt andet risikostyring, kontrol og tilsyn. Mens EU varsler store bøder, hvis kravene ikke efterleves, er den danske udmøntning af lovgivningen endnu ikke på plads.
De nye krav er en velkommen løftestang til en helt nødvendig styrkelse af dansk erhvervslivs modstandskraft over for den stigende cybertrussel. Samtidig udgør de en stor udfordring, og efterspørgslen og presset for at komme i gang med at leve op til kravene stiger.
Mange sammenligner situationen med indførslen af gdpr i 2018, hvor panikken spredte sig på danske ledelsesgange i tiden op til, at forordningen trådte i kraft. Helt enkelt fordi der ikke fandtes præcise svar på, hvad virksomhederne skulle gøre for at leve op til kravene.
“Hvis virksomheder er samfundskritiske eller er underleverandører til sådanne virksomheder, bør man allerede nu gå i gang for at være klar”
Rigtig mange virksomheder får travlt. En helt ny kortlægning fra Industriens Fond viser, at ca. 1000 danske virksomheder kan kategoriseres som samfundskritiske og derfor ser ud til at blive direkte omfattet af de kommende it-sikkerhedskrav fra EU.
Derudover gør direktivet virksomhederne ansvarlige for, at deres kritiske leverandører også lever op til de nye krav til informationssikkerhed for fortsat at kunne levere til de 1000 virksomheder. På den måde kommer tusindvis af underleverandører til at blive indirekte omfattet af NIS2-direktivet.
Nogle af de virksomheder, som bliver berørt, har flere tusinde medarbejdere og erfaring med at leve op til lignende lovgivning. Andre har 50 medarbejdere og har aldrig tidligere stået over for krav i samme skala.
D-mærket kan hjælpe
Modsat ved implementeringen af GDPR for fem år siden findes der i dag D-mærket, som danske virksomheder kan følge for at være sikre på, at de lever op til de nye it-sikkerhedskrav fra EU i den form, som vi kender dem nu. Industriens Fond står bag D-mærket i samarbejde med Dansk Erhverv, Dansk Industri, SMVdanmark og Forbrugerrådet Tænk.
D-mærket er Danmarks nye mærkningsordning for databeskyttelse, dataetik og datasikkerhed, der blev lanceret i 2021.
Når en virksomhed følger D-mærkets krav og kriterier, vil den nemlig samtidig leve op til minimumkravene i NIS2-direktivet, som blandt andet handler om øget forankring i ledelsen og om risiko- og leverandørstyring.
I takt med at myndighederne lægger sig fast på, hvordan direktivet skal implementeres i Danmark, vil D-mærket løbende blive tilpasset, så D-mærkede virksomheder fremadrettet kan have tillid til og ro i maven over, at de med D-mærket lever op til de nye krav.
Hvis virksomheder er samfundskritiske eller er underleverandører til sådanne virksomheder, bør man allerede nu gå i gang for at være klar, når reglerne træder i kraft til efteråret 2024.
Her kan der være god hjælp at hente i D-mærkets rammeværk. som er et konkret værktøj til at igangsætte implementeringen af de nye krav.
Så virksomhederne skal bestemt ikke fortvivle. De kan nemlig benytte den mulighed, som D-mærket tilbyder.
Det er et oplagt redskab til at takle de krav, der kommer i kølvandet på den nye bølge af cybersikkerhedsregulering, der – helt nødvendigt – kommer brusende imod os fra Bruxelles.
I sidste ende vil D-mærket være med til at øge Danmarks samlede beskyttelse over for cyberangreb. Det er der brug for.