Du kan som leder blive idømt bøde og bortvisning, hvis din virksomhed ikke lever op til direktivets omfattende krav. De kommende NIS2-krav sætter trumf på kravene for cybersikkerhed.
Er din virksomhed eller arbejdsplads beskyttet godt nok mod hackere og cyberkriminelle?
Det er et spørgsmål, der stilles rundt omkring i mange danske virskomheder i disse tider, hvor NIS2-direktivet så småt begynder at blive aktuelt. Flere rapport har gennem det seneste år vist, at især de danske SMVer halter bagud på cybersikkerheden, der oven i købet trues af en omsiggribende mangel på it-specialister.
Men skønt problemerne måske nok har sin årsag, er det ikke en gyldig undskyldning, når NIS2-direktivet rullet ind over landet fra og med nytår.
”Det nye direktiv er ganske omfattende, og der er rigtig mange ting, som virksomhederne skal forholde sig til og nå at implementere. Så det er en god idé at komme i gang med arbejdet nu,” siger Nikolaj Juncher Wædegaard, branchedirektør i Dansk Erhverv.
Til Marketconnects NIS2-arrangement hos Microsoft sidste fredag, udtalte sikkerhedsrådgiver og NIS2-ekspert i Globeteam, Morten Eeg Ejrnæs Nielsen.
“Lige nu handler det for virksomhederne om at finde ud af, i hvor høj grad de er omfattet, og hvad de skal gøre for at leve op til kravene. Det er omtrent lige så omfattende og forvirrende, som implementeringen af GDPR-reglerne var i sin tid. Derfor handler det også bare om at komme i gang med det samme, hvis man ikke allerede er begyndt, for NIS2 kommer bragende som et godstog.”
Klare sanktioner
En anden vigtig årsag til at kaste sig over arbejdet nu er, at der vanker alvorlige sanktioner for både virksomheder og ledere, hvis virksomhederne ikke lever op til reglerne.
”Virksomhederne risikerer bøder, hvis de ikke overholder reglerne, og i værste fald kan det for den øverste ledelse betyde bortvisning. Værktøjskassen med sanktioner er med andre ord noget mere hårdtslående end tidligere,” siger Nikolaj Juncher Wædegaard.
Han kommer samtidig samtidig fem råd til virksomhederne, der skal i gang med at omstille sig til NIS2.
- Beslut hvor i organisationen og hos hvem arbejdet med NIS2 skal forankres. Mange af de tiltag, der skal implementeres, vedrører risikovurdering, sikkerhedsforanstaltninger m.v., så et naturligt sted er hos IT-sikkerhedschefen.
- Stil krav om at de tiltag, der følger af NIS2, og som bliver tydeliggjort i takt med at myndighederne får skrevet vejledninger på området, bliver indarbejdet i organisationens eksisterende sikkerheds- og governance framework, så der ikke laves dobbeltarbejde, og så tiltagene hænger sammen.
- Der skal tildeles ressourcer til arbejdet. Sørg for at nøglemedarbejdere har eller får de rette kompetencer og får de ressourcer, som skal bruges for at sikre compliance. De foranstaltninger, der skal implementeres som følge af NIS2, gavner hele organisationens sikkerhed – også set fra aktionærernes perspektiv. Sørg også for passende awareness i hele organisationen.
- Få en beslutningsproces på plads, så det på øverste niveau besluttes, hvilke konkrete tiltag, der skal iværksættes i hvilken rækkefølge. Beslutningsprocessen skal også bruges til at konkludere, hvis nogle af de tiltag, som indstilles fra den NIS2-ansvarlige, ikke prioriteres, og ledelsen dermed accepterer en compliancerisiko.
- Foretag løbende audit som sikrer, at organisationen efterlever de foranstaltninger, som iværksættes og dermed sikrer, at foranstaltningerne har den effekt, som forventes. Sørg for mindst årligt at få rapporteret fremskridt til topledelsen.