Teledirektør: Her er, hvad vi ved om EUs kommende it-sikkerhedsdirektiv
Hver anden større danske virksomhed blev sidste år ramt af mindst én sikkerhedshændelse, og intet tyder på, at kurven knækker foreløbig, skriver Mikkel Kruse.
Mikkel Kruse
Direktør, Telenor ErhvervHvor mange dage kan din virksomhed tåle at være lukket ude af alle systemer? Ude af stand til at kommunikere, passe på fortrolige oplysninger, tage mod bestillinger og levere varer?
Det er det vigtigste spørgsmål at stille sig selv som leder, ejer eller bestyrelsesmedlem, i en tid hvor risikoen for cyberangreb er tårnhøj. Ligesom du skal spørge dig selv, om du har overblik over virksomhedens sikkerhedsniveau. Af hensyn til virksomheden, samfundet – og som forberedelse til det kommende NIS2-direktiv.
For realiteten er, at hver anden større danske virksomhed, ifølge PwC, blev ramt af mindst én sikkerhedshændelse i 2023. Og jeg er overbevist om, at kurven ikke knækker lige foreløbig. Samtidig er der ikke længere kun tale om småpengebeløb. Der er tale om digitale indbrud og gidseltagning, som for eksempel da 7-Eleven blev udsat for ransomware-angreb i 2022.
Skræmmeeksempler er der nok af. Alligevel er der alt for mange, der ikke har de basale systemer på plads til at opdage og modstå angreb
Mikkel Kruse
Direktør, Telenor Erhverv
Skræmmeeksempler er der nok af. Alligevel er der alt for mange, der ikke har de basale systemer på plads til at opdage og modstå angreb. Det skal laves om.
De vigtigste ting er allerede sat på flaske
It-sikkerhed – hvor tungt det end kan lyde – skal tages alvorligt. I direktionen og på bestyrelsesniveau. Og alle virksomheder bør have sikkerhedsredskaber og systemer på plads. Hvis ikke for at undgå indbrud, lukning og skam, så fordi det bliver lovpligtigt lige rundt om hjørnet.
Inden udgangen af året træder EU’s NIS2-direktiv nemlig i kraft som reaktion på den enorme sikkerhedstrussel, vi står overfor.
Vi kender ikke den danske lovpakke endnu, men direktivet stiller nogle overordnede krav for at sikre virksomheder og samfundet imod trusler. Det gælder for eksempel øgede krav til risikostyring, afrapportering og underretningspligt.
Det giver måske nogle af os tanker tilbage til GDPR-lovgivningen, som blev implementeret med samme udgangspunkt som NIS2, nemlig at sikre ensartede sikkerhedsregler på tværs af Europa og Danmark. Og for mange var GDPR en stor mundfuld at forstå og implementere.
Men jeg vil gerne berolige dig. Det lader ikke til, at NIS2 bliver lige så svær at efterleve. Og det siger jeg ikke kun som fagnørd. Faktisk er mange af de vigtigste systemer for at efterleve NIS2 allerede sat på flaske.
For at sikre dig mod angreb, og samtidig efterleve nogle af de nye krav, bør du blandt andet opsætte:
- Backupløsninger og contingency planer, der sikrer din forretning i tilfælde af angreb
- Processer for, hvordan I afrapporterer sikkerhedshændelser, når uheldet er ude
- Sikkerhedsfiltre, der forhindrer, at man kommer ind på skadelige sider
- Systemer, der gør det muligt at styre virksomhedens mobile enheder centralt og låse eller slette al data med et enkelt opkald
- Undervisning i at opdage og undgå cyberangreb
Det kan virke som en uoverskuelig liste – og vil givetvis være det for mange i starten. Men alt dette er allerede tilgængeligt i markedet i form af kurser, systemer og programmer.
Det handler bare om at investere rigtigt og stole på, at det er en fordelagtig økonomisk prioritering. Præcis ligesom med forsikringer.
Opret en komite på direktions- eller bestyrelsesniveau
Udover de nævnte punkter stiller NIS2 endnu et, i mine øjne, afgørende og fornuftige krav. Nemlig at ledelsen skal forstå de generelle risici og bære et ansvar for, at virksomheden efterlever kravene. Faktisk mener jeg, at it-sikkerhed bør være lige så højt på agendaen som regnskabet. Også på bestyrelsesniveau.
Prioriteret it-sikkerhed er særlig vigtigt for de mellemstore og store virksomheder, der bliver underlagt lovgivningen, men bestemt også for små virksomheder
Mikkel Kruse
Direktør, Telenor Erhverv
Derfor er det min klare anbefaling, at sikkerhedskompetencerne bliver styrket blandt bestyrelsesmedlemmer, og at mellemstore og store virksomheder opretter en komite enten i direktionen eller i bestyrelsen, som løbende sikrer, at loven bliver overholdt, og som holder øje med angreb, risici og modstandsdygtighed. Af hensyn til ansvar, omdømme og økonomisk overlevelse.
Prioriteret it-sikkerhed er særlig vigtigt for de mellemstore og store virksomheder, der bliver underlagt lovgivningen, men bestemt også for små virksomheder.
Så kære leder, ejer eller bestyrelsesmedlem. Har du tænkt over mit spørgsmål, mens du læste?
Hvor længe kan I tåle at være lukket ned og ude, før I må dreje nøglen om? Og hvor meget har I investeret i sikkerhed? Det skal du kunne svare på med ro i sindet. Fordi nogen vil forsøge at angribe din virksomhed. Spørgsmålet er, hvor dygtig du er til at modstå det.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
