Det kommende NIS2-direktiv står lige ved døren. Direktivet skal beskytte infrastrukturen og de tjenester og produktioner, som er vigtige for samfundet, men selvom det omfatter langt flere end NIS1, er mange virksomheder stadig i vildrede, viser en analyse fra Industriens Fond.
Det er kun knap en tredjedel af virksomhederne, der lever op til samtlige krav i det kommende NIS2-direktiv, og særligt SMV’erne er udfordret, viser analysen.
Således er hver femte virksomhed fortsat er i tvivl om, hvorvidt de vil blive berørt af direktivet. Dertil kommer, at hver femte virksomhed, der har sat sig ind i NIS2 og står til at blive omfattet, mangler en plan for at leve op til direktivets krav. Det er især kravene vedrørende politikker for forsyningskædesikkerhed og vurdering af effektiviteten af IT-sikkerhedsforanstaltninger, som færrest virksomheder er rustet til.
– Det gælder både store og små virksomheder, men særligt bekymrende ser det ud, når det kommer til SMV’erne, der halter bagefter, når det handler om at have en plan for at leve op til direktivet. En ting er, at rigtig mange er i tvivl om, hvorvidt de er omfattet, noget andet er, at de ikke har plan for at blive klar. Det kan have store konsekvenser i form af bøder, vanskeligheder ved at få fat i den rette hjælp og rådgivning og dermed nedsat konkurrenceevne. Derfor er det virkelig vigtigt, at flere virksomheder kommer i gang nu, siger programchef i Industriens Fond, Malene Stidsen.
Ifølge Malene Stidsen er det også iøjnefaldende, at over halvdelen af virksomhederne ikke kender til værktøjer, der kan hjælpe dem med at øge it- og informationssikkerheden. Analysen viser, at virksomhederne efterspørger styrket information og vejledning om eksisterende og ny regulering, adgang til best practice cases og rådgivning.
– 76,3 % af virksomhederne siger, at de vil søge ekstern rådgivning for at leve op til kravene. Og det bliver ikke billigere af, at så mange vil søge den vej. Her kan man hurtigt regne ud, at det er SMV’erne, der ofte vil komme bagerst i rådgivningskøen, der kommer til at betale en høj pris. Derfor vil jeg – igen – opfordre enhver virksomhed til at gå i gang med at tage D-mærket, siger Malene Stidsen.
Udover at være en blåstempling af virksomhedens it-sikkerhed og dataanvendelse sikrer D-mærket også, at man som virksomhed lever op til minimumskravene i NIS2-direktivet.
Den økonomiske del er en del – en anden af de store udfordringerne bliver kravet om leverandørsikkerhed. Kort fortalt betyder det, at virksomhederne skal sikre, at deres vigtige leverandører også lever op til direktivets krav.
Dermed kan nogle virksomheder blive taget på sengen, for hvis en af deres kunder er omfattet, vil man også være det, og det kan komme som en overraskelse.
– Vi venter fortsat på, at de danske myndigheder lægger sig fast på implementeringen, men det betyder ikke, at virksomhederne skal tøve her. Cybersikkerhed handler i dag ikke kun om at leve op til myndighedernes regler – men også investorers og samarbejdspartneres krav. Det giver derfor rigtig god mening ikke blot ud fra et sikkerhedsperspektiv men også med blik for konkurrenceevnen at komme i gang med de sikkerhedskriterier, der ligger i NIS2-direktivet, siger Malene Stidsen.
Det ligger fast, at direktivet senest skal være implementeret i oktober 2024.
Kilde: Industriens Fond
