Med indførelsen af NIS2-direktivet sidste år har mange virksomheder rettet blikket mod IT-afdelingen for at få styr på kravene til cybersikkerhed. Men bygningernes sikkerhed, herunder adgangskontrol, alarmer og sikring af tekniske anlæg, risikerer at blive overset, advarer NRGi ELCON.
Da EU’s NIS2-direktiv trådte i kraft i Danmark i 2025, blev det for mange virksomheder startskuddet til et omfattende arbejde med at leve op til de skærpede krav om cybersikkerhed for at beskytte landets kritiske infrastruktur.
Men NIS2-direktivet er ikke det eneste EU-krav, som virksomheder møder. Sideløbende er der med CER-direktivet (Critical Entities Resilience Directive) kommet øget fokus på sikring af bygninger og fysiske adgangsforhold.
Derfor bør sikkerhedsarbejdet heller ikke begrænses til IT-afdelingen, men også tænkes ind i virksomhedernes fysiske lokationer, lyder det fra NRGi ELCON.
Den landsdækkende elinstallatørvirksomhed rådgiver dagligt virksomheder om fysisk sikring og tekniske installationer, herunder blandt andet adgangskontrol, alarmer og overvågning.
”Der er ingen tvivl om, at mange virksomheder er nået langt, når det gælder IT-sikkerhed. Til gengæld oplever vi, at de fysiske adgangsforhold og installationer ikke altid er tænkt ind i samme omfang. Det er problematisk, når sikkerheden bliver håndteret som et rent IT-projekt, for så risikerer virksomheder at overse, at adgang til bygninger og tekniske anlæg i praksis også er adgang til kritisk infrastruktur,” siger Jesper Svenningsen, der er Brand og Sikringschef i NRGi ELCON.
NIS2-direktivet omfatter blandt andet mellemstore og større virksomheder og organisationer inden for samfundskritiske sektorer som energi, digital infrastruktur, transport og industri.
Stigende efterspørgsel på fysisk sikring
Hos NRGi ELCON oplever man derfor også, at flere virksomheder nu efterspørger rådgivning og løsninger, der binder fysisk sikring og digital sikring tættere sammen.
”Vi kan tydeligt mærke, at virksomhederne i stigende grad har fået øjnene op for, at sikkerhedsarbejdet ikke kun er begrænset til serverrummet, men i høj grad også handler om bygningerne. Det er en positiv udvikling, for det betyder, at flere begynder at arbejde mere samlet med sikkerhed på tværs af organisationen,” siger Jesper Svenningsen, som tilføjer:
”For de fleste handler det ikke om at starte forfra med deres sikkerhedsarbejde, men om at sikre, at man ikke overser en væsentlig del af sit risikobillede. Hvis man vil reducere sin reelle sårbarhed, kræver det, at man arbejder med sikkerhed på tværs af både IT, bygninger og tekniske anlæg og har styr på, hvem der har adgang til systemer og data. Ellers risikerer man at stå med en stærk IT-politik, men stadig have åbne døre til de anlæg, der holder virksomheden i gang.”
Med CER-direktivet skal myndighederne senest i juli 2026 udpege de samfundskritiske virksomheder, som blandt andet bliver mødt af skærpede krav til sikring af bygninger, anlæg og fysiske adgangsforhold.

