Hackerne banker på døren hos mange store og mellemstore danske virksomheder for tiden, og det kan ende med at koste rigtigt dyrt. En række store og mellemstore danske virksomheder kan se frem til udvidede cyber-sikkerhedskrav, når det nye NIS2-direktiv træder i kraft i starten af 2024.
NIS2-direktivet forventes at blive implementeret i dansk lovgivning i starten af 2024. Ligesom sin forgænger, NIS1, regulerer direktivet virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Den nye lov rammer en række sektorer, der ikke tidligere har været omfattet, herunder sektorerne inden for fødevarer, spildevand, affald, rumteknologi og udvalgte sektorer i fremstillingsindustrien.
“Vi anbefaler, at organisationerne kommer i gang med forberedelserne så tidligt som muligt. Organisationerne skal være opmærksomme på, at de selv har en forpligtigelse til at finde ud af, hvorvidt de er omfattet af NIS2. Der vil med andre ord ikke være nogen myndighed, der udpeger og varsler organisationerne,” siger Mads Nørgaard Madsen, partner og leder af Consulting – Technology & Security i PwC.
Den nye lov udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at danske virksomheder skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn.
“Fra starten af 2024 er virksomhederne og myndigheder forpligtet til at leve op til kravene, og derfor er det en fordel at komme i gang nu fremfor at vente, da det tidligere har vist sig, at det har været en omfattende opgave for de organisationer, der var omfattet af NIS1. Hvis virksomhederne og myndighederne har en ledelsesforankret risikoproces i forvejen, er det en klar fordel. Hvis ikke, venter en omfattende proces forude,” siger Mads Nørgaard Madsen.
Han tilføjer, at det kan være en fordel at indføre NIS2 som en del af et nyt cyberprogram, så det bliver prioriteret og forankret det rette sted i organisationen.
Kommissionen anslår desuden, at for de organisationer, der vil være omfattet af NIS2-direktivet, vil deres nuværende udgifter til sikkerhed øges med 22 % i de første år efter indførelsen af direktivet. Dette vil være 12 % for virksomheder og myndigheder, der allerede er omfattet af det nuværende NIS-direktiv.