Ny lovgivning: Nu er IT-sikkerhed blevet et konkurrenceparameter
IT-sikkerhed handler ikke kun om at forsvare sig mod cyberangreb. Med ny lovgivning er det også blevet en forudsætning for vækst, skriver direktøren for Erhvervshus Nordjylland.
Denne klumme er skrevet af Lars Erik Jønsson, direktør i Erhvervshus Nordjylland. Den er et udtryk for skribentens egen holdning.
IT-sikkerhed fylder med god grund i nyhedsmedierne.
IT-sikkerhed er en stor udfordring, og alligevel bliver det hos flere virksomheder skubbet i baggrunden på grund af tidspres, manglende viden og et håb om, at “det rammer nok ikke os.”
Alt for mange virksomheder har ikke et IT-sikkerhedsniveau, der matcher den virkelighed, de opererer i.
Nye tal fra erhvervshusenes cybersikkerhedstjek viser, at 57 procent af virksomhederne i Danmark ikke har cybersikkerhed som fast punkt på direktions- eller bestyrelsesmøder. Dertil kommer, at 46 procent bekræfter, at de har kunder, som bliver direkte omfattet af NIS 2-lovgivningen.
Selvom loven primært gælder større virksomheder, bliver mange små og mellemstore virksomheder også berørt.
Den nye lov stiller krav til blandt andet risikostyring, beredskabsplaner og hændelseshåndtering. Men mange virksomheder er i tvivl om, hvad NIS 2 betyder i praksis.
• NIS 2 er et EU-direktiv, der skal styrke cybersikkerheden på tværs af Europa. Cybersikkerhed er ikke længere kun et internt IT-anliggende for den enkelte virksomhed, men et fælles samfundsansvar
• NIS 2 gælder for kritiske sektorer inden for energi, sundhed, transport og digital infrastruktur. Mange små og mellemstore virksomheder vil indirekte blive berørt, fordi de er underleverandører til større virksomheder
Formålet med loven er at styrke cybersikkerheden i virksomheder og de samfundskritiske sektorer – og selvom loven primært gælder større virksomheder, bliver mange små og mellemstore virksomheder også berørt.
Det vil typisk være leverandører til de store virksomheder, der er direkte omfattet af NIS 2.
IT-sikkerhed er ikke blot et spørgsmål om at forsvare sig mod cyberangreb, men et spørgsmål om konkurrenceevne og en forudsætning for vækst.
Hvis virksomheder ikke kan dokumentere deres arbejde med IT-sikkerhed, vil de risikere at miste kunder, fordi de ikke længere kan dokumentere, at de lever op til NIS 2-krav i leverandørkæden – og dermed ikke kan leve op til kundernes krav.
IT-sikkerhed er altså ikke længere blot et spørgsmål om at forsvare sig mod cyberangreb, men i høj grad et spørgsmål om konkurrenceevne og en forudsætning for vækst.
Jeg oplever ikke manglende beredskab som et udtryk for manglende vilje. Tværtimod. Men desværre ser vi, at hverdagens kerneopgaver presser sig på, og tiden ikke er der til at komme i gang. Samtidig kan IT-sikkerhed virke komplekst.
I 2025 kommer vi bare ikke udenom, at IT-sikkerhed er en central del af at drive en robust og troværdig virksomhed.
Lars Erik Jønsson anbefaler blandt andet Digitaliseringsstyrelsens selvhjælpsværktøjer, som ligger til rådighed for virksomheder online:
• Sikkerhedstjekket, hvor virksomheder på 15-20 minutter kan få konkrete anbefalinger til, hvordan de kan forbedre deres IT-sikkerhed.
• IT-risikovurderingsværktøjet, hvor virksomheder får en grundlæggende IT-risikovurdering i Excel-format og en vejledning med anbefalinger til at mindske IT-risici i virksomheden i fremtiden.
