NIS2 er på vej, men hvis man som virksomhedsleder blot tror, det er endnu et EU-direktiv, der skal kunnes udenad og overholdes efter lovens bogstav, er indsatsen for at være en resilient og robust virksomhed tabt på forhånd.
Det kan næppe komme bag på nogen, at tiderne er usikre. Cyberangreb flyver på kryds og tværs af landegrænser og sætter såvel virksomheder som organisationer under et mere eller mindre konstant pres. Selvom krige på et tidspunkt stopper, bryder andre ud, og inden for overskuelig fremtid er der ikke udsigt til, at trusselsbilledet bliver mindre. Så spørgsmålet er, om virksomheder og organisationer er parate til at modstå truslerne.
I EU er man klar med NIS2-direktivet der betyder, at medlemslandene fra oktober måned bliver underlagt skærpede krav til håndtering af deres cyber- og informationssikkerhed. Det afløser NIS1-direktivet fra 2016, og målet er i langt højere grad at øge modstandsdygtigheden over for cybertrusler på tværs af EU for virksomheder. Blandt andet inden for en lang række sektorer og for offentlige myndigheder som anses for at være kritiske for såvel samfund som økonomi.
Giver stor anledning til bekymring
”Det er godt, at vi har fået NIS2, men jeg bliver noget bekymret, når jeg møder ledelsen i en virksomhed, hvor fokus ligger på efterlevelse af lovens bogstav i direktivet frem for reelt at hæve niveauet og øge modstandskraften. Hvis du som virksomhedsleder har fokus på at forsvare dig mod tilsyn, vil jeg vove den påstand, at du allerede har tabt kampen mod den reelle modstander, nemlig de cyberkriminelle.” Sådan siger Frederik Helweg-Larsen, der er partner i konsulenthuset Devoteam.
Han understreger, at denne oplevelse faktisk slet ikke er så
sjælden endda, og argumentet er, at alt for mange virksomhedsledere ikke har forstået, at NIS2 – der jo reelt har været flere år undervejs – ikke handler om compliance, men om forandringsledelse. Det er et af arbejdsområderne hos Devoteam, som er et af Europas største konsulenthuse inden for digitalisering, og hvor cyber- og informationssikkerhed naturligvis indgår i en del af de kundeprojekter, man arbejder med.
Har grebet processen forkert an
”Vi er specialister i digitalisering i bred forstand, men især når det gælder resiliens og robusthed over for dagens trussels-
billede, er netop forandringsledelse en vigtig disciplin. Faktisk er det en meget gammel disciplin, så selv om trusselsbilledet naturligvis har udviklet sig over tid, synes jeg, det er lidt deprimerende at se, hvor mange virksomheder, der rent faktisk ikke har fundet frem til en effektiv måde, hvorpå de kan håndtere risici,” siger Frederik Helweg-Larsen videre.
I hans optik er en af årsagerne, at der mangler transparens i virksomhederne. Der er ofte meget langt fra sikkerheds-politikkerne til de reelle handlinger samt it-systemernes opsætning, og det er rent faktisk her, at problemet ligger. Funktionerne i virksomheden er opdelt i siloer, hvilket gør det svært for ledelsen at få et samlet overblik. Dermed er det også svært at få defineret det samlede målbillede, der er så essentielt for virksomhedens indsats.
Skal tænke årevis ud i fremtiden
”I dag er det ikke længere nok blot at skrive nogle retningslinjer ned på et stykke papir. Det handler om, at menneskers adfærd skal ændres, og at it-systemerne skal indrettes anderledes. Vi kan ikke blive ved med at gentage de samme handlinger og forvente nye resultater. Det giver ingen mening, lige som det heller ikke giver nogen mening blot at læne sig op ad standarder eller Best Practice, som vi ikke tidligere er lykkedes med at implementere. Forandringsledelse kræver i langt højere grad en pragmatisk tilgang samt ikke mindst løbende for-
andring og tilpasning,” uddyber Frederik Helweg-Larsen.
Hos Devoteam rådgiver man ofte store offentlige og private virksomheder med et højt modenhedsniveau og store ressourcer. Selv her er man udfordret, så når risikouniverset er svært at gennemskue selv for de dygtigste, må det være betydeligt sværere for mange andre. Især fordi det for Frederik HelwegLarsen handler om at tænke langsigtet. Det er slet ikke nok blot at tænke frem mod oktober 2024, hvor NIS2-direktivet træder i kraft.
I sidste ende har kun én ansvaret
”Cyber- og informationssikkerhed er en kontinuerlig proces, der aldrig stopper, og jeg ved godt, det handler om hårdt
arbejde. Derfor anbefaler vi da også, at virksomhederne starter med et realistisk ambitionsniveau og får bygget nogle processer op, der virker i praksis. Så kan man altid bygge på hen ad vejen. Det allervigtigste er imidlertid at være operationel og at kunne handle. Blandt andet ved at investere de nødvendige ressourcer,” siger Frederik Helweg-Larsen.
Ånden i NIS2-direktivet er altså ikke, at man skal kunne et
regelsæt udenad og efterleve det. NIS2 handler om en langvarig indsats med henblik på at øge virksomhedens modstandskraft. Det kan godt være, det kommer som en overraskelse for nogle administrerende direktører, men uanset hvor mange sikkerhedsspecialister, en virksomhed har, er der i sidste ende kun én, der har ansvaret for resultatet – nemlig den administrerende direktør, understreger Frederik Helweg-Larsen.
