Med det nye NIS2 direktiv fra EU løftes it-sikkerhed op på et helt nyt niveau. Det kommer til at stille en række nye krav til virksomhederne, der skal være klar til at kunne efterleve dem om blot halvandet år.
I løbet af efteråret 2024 træder det nye NIS2-direktiv i kraft. Et direktiv, der skal være med til at sætte et nyt og højere niveau for fælles datasikkerhed på tværs af EU. Det nye direktiv regulerer virksomheder og myndigheder på cyber- samt informationssikkerhedsområdet og kommer til at omfatte en række sektorer, der ikke tidligere har været omfattet af regulering. Blandt andre sektorer inden for fødevarer, spildevand og affald samt udvalgte sektorer i fremstillingsindustrien.
”Selv om der er halvandet år til, er det imidlertid ikke for tidligt at komme i gang. At blive compliant med det nye direktiv bliver man nemlig ikke sådan lige fra den ene dag til den anden”. Det siger Senior Security Advisor Mette Nikander fra it-sikkerhedsselskabet Nixu, og Market Unit Lead Henrik Engqvist er helt enig i den betragtning. Han er glad for det nye direktiv, og selv om der sikkert er nogle virksomheder, der synes det vil gøre dagligdagen mere besværlig, ser han modsat på det som en mulighed for at sikre virksomhedernes forretning.
Positivt afkast
”Min opfordring til virksomhederne er at se NIS2 direktivet, der kommer til at omfatte langt flere typer af virksomheder end det nuværende NIS1 direktiv, som en forretnings enabler. Ideen med direktivet er nemlig, at det skal øge sikkerheden på tværs af virksomhedernes værdi- og leverandørkæde. Man kan som leverandør risikere at blive bortdømt, hvis ens kunde forventer, man er NIS2 compliant, men man ikke er det”, siger Henrik Engqvist. Både han og Mette Nikander gør opmærksom på, at det givet er noget, man ikke altid er opmærksom på ned gennem leverandørkæden. Det bliver imidlertid en nødvendighed, fordi der med NIS2 virkelig sættes fokus på it-sikkerhed fra EU’s side. Ud over risikoen for at kunne blive bortdømt som leverandør, er der nemlig også en risiko for økonomiske sanktioner, hvis man som virksomhed ikke lever op til direktivet.
Hele organisationen skal med
”Man taler ikke så meget om det, men der er givet virksomheder, der tager manglende it-sikkerhed som en kalkuleret risiko i håbet om ikke at opleve sikkerhedsbrister, men det er altså slut nu. Enten er man compliant, eller også er man ikke”, siger Mette Nikander videre. Både hun og Henrik Engqvist føjer til, at NIS2 ikke blot handler om it-sikkerhed set ud fra et teknologisk synspunkt, men også fra et organisatorisk synspunkt.
”Alle skal kende deres rolle i virksomheden og forstå, hvor vigtigt det er, at it-sikkerhed også handler om medarbejdermæssig adfærd og parathed. Det at agere klogt og velovervejet skal være en del af virksomhedens DNA. Det er lige så vigtigt for os at rådgive vores kunder om, når vi leverer løsninger til dem”, uddyber Henrik Engqvist. Han siger videre, at man hos Nixu oplever, at virksomhederne allerede har hørt om NIS2 og derfor kan mærke øget interesse for deres sikkerhed.
En investering i tryghed
”Danmark er et af de mest digitaliserede samfund i verden. Derfor står vi også forrest på øretævernes holdeplads, når det gælder risikoen for sikkerhedsbrister. Uanset om det er personfølsomme data, kundedata eller andre former for forretningskritiske data, kan et angreb blive katastrofalt og i sidste ende måske koste virksomhedens eksistens”, forklarer Henrik Engqvist og understreger vigtigheden af at blive NIS2 compliant hurtigst muligt.
Mette Nikander føjer til, at det handler om ikke at se det nye EU-direktiv som et benspænd, men snarere som et konkurrenceparameter. Det gælder for virksomheden om at se opgradering af sikkerheden som en investering mod kompromittering, tab eller tyveri af data. Samtidig skal virksomheden være klar over, at der ikke er tale om en engangsforeteelse. Det at have styr på sikkerheden er en løbende proces, der i princippet aldrig slutter.
