It-virksomhed: EU-direktiv er en åben invitation til at forbedre din virksomheds cybersikkerhed

Der er mange kloge mennesker, som har lagt utallige timer i at skabe et regelsæt, som nogen skal efterleve – og som andre kan lade sig inspirere af.

For en sikkerheds skyld

Det initiativ, som EU viser i forbindelse med NIS2 er forbilledligt – og noget, som de fleste virksomheder burde følge.

Mange virksomheder ville skulle investere utallige interne timer eller konsulenttimer i at planlægge sådan en indsats. Men nu ligger der en tydelig to-do-liste klar på EU-kommissionens hjemmeside.

Målet er at løfte it-sikkerhedsniveauet på tværs af de europæiske nationalstater.

Ketil Johansen
Administrerende direktør, 2C Networks

NIS2 er en udvidelse af NIS-direktivet, og begge har det formål at beskytte det europæiske samfund mod it-kriminalitet.

Målet er at løfte it-sikkerhedsniveauet på tværs af de europæiske nationalstater.

Derfor bør vi alle – som virksomheder – tage så mange tiltag til os som muligt.

Vi er alle en del af den angrebsflade, som udgøres af europæiske organisationer, virksomheder og borgere. Derfor skal vi også være en del af det fælles bolværk mod den it-kriminalitet, der truer os alle.

NIS2 er en to-do-liste, der er relativ nem at gå i gang med – og præsenterer gode og effektive skridt i den rigtige retning.

Fælles opgave, fælles gavn

Læs intet af min tekst som at jeg negligerer de komplikationer, som NIS2 skaber for nogle virksomheder derude. Det kan være hårdt arbejde, og heldigvis har de danske virksomheder tid endnu, før NIS2 forventes at blive vedtaget i det danske Folketing og dermed iværksat.

For alle os andre har vi bedre tid. Vi har ikke en hård deadline, men der er så mange elementer fra artikel 21, stykke to, som man sagtens kan og bør prioritere i enhver given virksomhed, hvis man ikke allerede har styr på det.

Eksempelvis ser jeg et kæmpe potentiale i at arbejde mere struktureret med en risikobaseret tilgang. Det behøver ikke være kompliceret. Helt lavpraktisk burde alle være i stand til at lave en liste med de ti største trusler mod IT-sikkerheden i netop din virksomhed. Og ja, risikobaseret tilgang er et NIS2 krav.

NIS2 er en to-do-liste, der er relativ nem at gå i gang med.

Ketil Johansen
Administrerende direktør, 2C Networks

Et andet eksempel er kravet om "Incident Response", altså en handlingsplan for, når virksomheden bliver angrebet. Der er et overraskende stort antal virksomheder i Danmark, som ikke har et kriseberedskab klar og dermed heller ikke fokus på at kunne genoprette driften så hurtigt som muligt. Det alene er to af punkterne fra NIS2.

Og nogle af de virksomheder, som har en kriseplan, har den liggende som en Word-fil på den server, som forventeligt vil blive krypteret under et ransomware-angreb. Her må man gerne bruge lidt regnskov og printe.

NIS2 kræver også, at virksomheder og institutioner har styr på deres tofaktorgodkendelse, kryptering og et grundlæggende niveau af cybersikkerhedshygiejne og -uddannelse.

Alt sammen noget, som enten kan klares rent med interne ressourcer og fokus eller (relativt) overkommeligt ved hjælp udefra. Gør det for jeres egen skyld – og bidrag der igennem til et fælles bedre beredskab.

Et samfund med virksomheder og institutioner, der er modstandsdygtige mod it-kriminalitet, er en fælles opgave til fælles gavn.