Med en revisorerklæring kan virksomhederne dokumentere, at de lever op til kravene i NIS2. Erklæringen er særligt egnet til de virksomheder, der er underleverandører til virksomheder omfattet af NIS2. Hos revisions- og rådgivningshuset Grant Thornton hjælper de virksomhederne godt i gang med at møde kravene i det nye direktiv, så virksomhederne kan vælge de rette løsninger og leve op til loven.
Halvdelen af store danske virksomheder har været ramt at cyberangreb; det viser en rapport, som TDC har offentliggjort i forbindelse med årets Cybersecurity-dag. Der er ikke tegn på, at angrebene i fremtiden vil blive mindre, tværtimod peger analyser på, at de vil blive mere omfattende. Cyberangreb er en alvorlig trussel mod virksomheders drift, økonomi og deres omdømme. Med den kommende implementering af NIS2-direktivet i dansk ret kommer der skærpede krav til virksomhederne og organisationernes cyber- og informationssikkerhed, samt krav om tilsyn og rapportering. Virksomheder og offentlige organisationer fra 18 forskellige sektorer, der er en del af Danmarks kritiske infrastruktur samt visse leverandører til NIS2-omfattede virksomheder, kan være omfattet af det nye direktiv. Virksomheder med færre end 50 ansatte vil som udgangspunkt ikke være omfattet.
”Det kan være svært for virksomhederne at overskue, hvad de nye krav indeholder. Men der er hjælp at hente. For eksempel kan en revisorerklæring hjælpe virksomheder med at attestere og kommunikere deres håndtering af cyberrisici i forbindelse med risikostyring,” forklarer Martin Brogaard fra IT Risk Assurance and Advisory Services hos Grant Thornton. I afdelingen sidder rådgivere med stor erfaring i revisorerklæringer, compliance og relevante ISO-standarder klar til at hjælpe arbejdsgiverne godt i gang med at implementere NIS2.
Erklæring som strategisk redskab
Revisorerklæringen, der er lanceret af FSR – danske revisorer, er en rapporteringsramme, som viser ledelsen og interessenter, hvordan kontrollerne til cybersikkerhed fungerer.
”Erklæringen er især interessant for virksomheder, som er underleverandører til de virksomheder, der er omfattet af NIS2. Rapporten giver netop indsigt i, hvordan leverandøren styrer risici, der er relateret til cybersikkerhed. På den måde kan erklæringen også være et strategisk værktøj, der kan styrke konkurrenceevnen for de virksomheder, som er underleverandører,” forklarer Martin Brogaard.
Revisorerklæringen er også relevant for virksomheder, som af egen vilje ønsker at vise investorer og bestyrelse, hvilket sikringsniveau virksomheden har i forhold til cybersikkerhed.
Byg videre på eksisterende
Hos Grant Thornton er de klar til at hjælpe virksomhederne godt i gang.
”Jeg vil gerne mane til ro, fordi NIS2 ikke er en enkeltstående silo, der skal have sit eget kontor. Mange af kravene i NIS2 kender virksomhederne allerede. Da GDPR kom, var der også en masse nervøsitet, men virksomhederne kom godt igennem og implementerede en lang række krav, som NIS2 kan bygge ovenpå,” siger Martin Brogaard og uddyber:
”Mange virksomheder har allerede implementeret en række tiltag som eksempelvis sikkerhedsstandarden ISO 27001, hvis programramme ligger godt i tråd med NIS2. Derfor opfordrer vi virksomhederne til at se på, hvad de allerede har, gøre brug af de eksisterende politikker og så bygge videre på det fundament. På den måde bliver NIS2 ikke en uoverskuelig opgave.”
Kom godt i gang
Martin Brogaard understreger, at tankerne bag NIS2 netop giver god mening, da virksomhederne kun kan have en interesse i at stå stærkere i forhold til cybersikkerhed og på den måde bevare konkurrenceevnen, fundamentet for at drive virksomhed og samtidig være med til at beskytte kritisk infrastruktur i Danmark og EU.
”Den nye lovgivning træder snart i kraft, så vi anbefaler, at virksomhederne kommer i gang med de indledende processer,” understreger Martin Brogaard.
