Mange virksomheder skal stramme op for sikkerheden, inden NIS2 træder i kraft næste år, bl.a. ved at have en beredskabsplan klar. Men ofte kan virksomheder blive for sikre på deres plan, og det kan koste dyrt den dag, man rent faktisk bliver udsat for et cyberangreb, fortæller risiko- og sikkerhedsrådgiver Esbern Stig Møller i et nyt afsnit af podcasten SpecialistHjørnet.
Næste år træder EU-direktivet NIS2 i kraft; en lov, der stiller større krav til virksomheders sikkerhed. Derfor skal mange virksomheder nu stramme op, hvis de vil undgå at få en bøde. Det betyder bl.a., at de skal have en beredskabsplan klar til, hvis ulykken skulle ramme, fx i form af et hackerangreb. Men der er særligt én ting, mange glemmer, når de laver og tester deres plan, fortæller risiko- og sikkerhedsrådgiver i Globeteam, Esbern Stig Møller:
”Mange virksomheder tror, at deres plan holder. Og mange af øvelserne kører jo i et spor, hvor de er trygge i, at vi laver en øvelse ligesom sidst, og så kan vi klappe hinanden på skulderen; at vi har holdt den, og det gik rigtig godt. Og det er jo så i min optik ofte tegn på, at man ikke har øvet, og man har ikke udfordret sine planer. Man har ikke prøvet et scenarie, man ikke kender. Man har ikke testet af, hvad man så kan i andre sammenhænge,” siger Esbern Stig Møller og understreger vigtigheden af at tænke ud af boksen frem for at køre på autopilot:
”Der er mange, der bruger det udtryk, at en plan holder kun til det første møde med fjenden. Og det er det jo også her. Vi kan kun træne på de scenarier, vi kan forberede os på, forudse eller udtænke. Og mange gange vil de angreb eller de hændelser, der rammer os, være en lille smule anderledes. Men hvis vi har noget at gå ud fra, så kan vi improvisere fra de planer. Vi kan tage udgangspunkt i nogle planer, vi har øvet. Alt andet lige står vi stærkere, end hvis vi skal starte fra bunden.”
Og det kan betale sig at gøre sig umage, når man laver sin beredskabsplan, siger Esbern Stig Møller, som tidligere har arbejdet i 23 år, bl.a. med krise- og beredskabshændelser i politiet og efterretningstjenesten.
”Hvis vi kigger på de kriminelle dele, så er rigtig mange virksomheder, også dem, som ikke ser sig selv som mål; men de er penge værd. De har nogle sårbarheder i deres IT-system, drift eller OT, som gør, at de kan blive forhindret, enten af kriminelle, som vil have penge for at give dem deres kompetencer og evner tilbage, eller også simpelthen bare nogle sårbarheder, som slår ud, og som gør, at de er ramt og handlingslammet,” forklarer han.
Esbern Stig Møller fortæller mere om, hvordan man som virksomhed laver en ordentlig beredskabsplan, når han gæster det nye afsnit af podcasten SpecialistHjørnet, hvor MarketConnects ansvarshavende chefredaktør Morten Huse Eikrem-Jeppesen i tre afsnit undersøger, hvordan nogle af de største virksomheder i Danmark forbereder sig på NIS2. Det sker sammen med medvært Morten Eeg Ejrnæs Nielsen, der er sikkerhedsekspert i konsulenthuset Globeteam.
Lyt til podcasten på MarketConnect, i Apple Podcast og på Spotify. Podcasten er sponseret af konsulenthuset Globeteam.