Danmark investerer historisk massivt i forsvaret. Nye våbensystemer, ny teknologi, nye leverandører. Men alt, der kobles til vores forsvar - en drone, en sensor, en metalkomponent, en softwareløsning eller en maskindel i en fabrik - bør være demonstreret sikre. Det krav kan ikke opfyldes af IT-afdelingen alene. Det er ledelsens ansvar, og ansvaret bør styres, måles og dokumenteres i et samlet roadmap.
“Der er mange virksomheder, der ikke er klar over, at de bliver betragtet som en del af Danmarks kritiske infrastruktur, når de f.eks. leverer til forsvaret,” siger Peter Worck Nielsen, der beskæftiger sig med kvalitetsstandarden, AQAP (Allied Quality Assurance Publications), hos Bureau Veritas, en af verdens største virksomheder inden for inspektion, klassificering, rådgivning og certificering.
“Kritisk infrastruktur betyder skærpede krav til cybersikkerhed, men også til dokumentation, fabrikssikkerhed og modstandsdygtighed, og kravene ligger på et niveau, som kun få virksomheder i dag kan leve op til”, vurderer Peter Worck Nielsen.
Kan I demonstrere sikkerhed?
Ifølge Hanne M. Hansen, der er Head of OT Security hos Bureau Veritas, overser danske virksomheder, at sikkerhed ikke kun handler om IT. Det handler om at kunne demonstrere sikkerhed på tværs af hele virksomheden: drift, produktion, leverandørkæde, governance og cybersikkerhed.
Det er den nye virkelighed - og her taber mange allerede kontrakter, før de når til udbudsrunden.
Som bekendt er en organisation kun så sikker som sin svageste leverandør.
Derfor bør enhver virksomhed – uanset størrelse – der vil levere et produkt eller en tjeneste til forsvaret, forholde sig til eventuelle krav inden for flere anerkendte standarder:
- NATO-standarden AQAP 2110, der benyttes i forsvarskontrakter.
- ISO 27001 eller tilsvarende dokumenteret informationssikkerhed.
- EU’s cybersikkerhedsdirektiv NIS2.
- Produktsikkerhed (fx IEC 62443) for fysiske komponenter.
- Bestyrelsesansvar og bestyrelsestræning.
- Pentest og dokumenteret modstandsdygtighed.
Her fejler mange. Ikke fordi de er usikre, men fordi de ikke kan demonstrere, at de er sikre.
“Vil man være leverandør til forsvaret, handler det ikke om, hvad du er, men hvad du kan bevise. Her kan certifikater være bevisførsel,” fastslår Hanne M. Hansen.
“De udstedes af en uafhængig tredjepart, der gennemgår virksomhedens praksis og vurderer, om kravene er opfyldt. De kan derfor fungere som et bevis for, på forhånd, at en virksomhed kan efterleve kravene.”
Certifikater kan blive adgangsbilletten
I industrien taler man om: “paper security vs. real security”, og Forsvarsindustrien accepterer ingen af delene alene. Begge skal være opfyldt samtidigt.
Eksemplerne er mange.
Peter Worck Nielsen fortæller, at han oplever, at flere virksomheder bliver stillet krav om at efterleve ISO 27001 og AQAP 2110 for at komme i betragtning til udbud og kontrakter, selvom de leverer på højeste niveau.
Producenter af komponenter bliver bedt om at dokumentere IEC 62443-sikkerhed for selve produktet, ikke kun for virksomhedens samlede sikkerhedspraksis.
Såkaldte “white collar hackere” sendes ud for at trykprøve virksomheders fysiske produktionsmiljøer, mens IT-afdelingen har været fokuseret på at beskytte netværket.
Det er præcis derfor, ledelsen har brug for et roadmap:
Hvad skal vi gøre, i hvilken rækkefølge, og hvad er nok til at komme i betragtning?
Roadmap for ledelsen
Vejen til at blive kvalificeret leverandør.
Når virksomheder taber kontrakter, skyldes det sjældent manglende vilje eller teknisk kompetence. Oftest handler det om, at de ikke kan fremvise en sammenhængende dokumentation for sikkerheden.
Certificeringer som ISO 27001, IEC 62443 eller AQAP 2110 kan fungere som et formelt bevis på, at virksomhedens procedurer, kontroller og systemer er gennemgået og godkendt af en ekstern instans. Det er den form for dokumentation, virksomheder kan blive mødt af.
Men certificeringer er betydelige investeringer. De skal vælges rigtigt - og i den rigtige rækkefølge. Derfor starter et effektivt roadmap med at afklare, hvilken af tre veje virksomheden skal følge, før de går ind i en udbudsrunde.
Tilsammen giver de tre veje et komplet billede af virksomhedens sikkerhedsniveau. Ledelsen kan planlægge, prioritere og iværksætte præcis de indsatser, der gør, at de opfylder både tekniske, organisatoriske og kontraktuelle krav - men samtidigt undgå unødvendige investeringer og den langt dyrere risiko: at blive fravalgt på grund af manglende dokumentation.
De 3 veje i roadmappet lyder således
1. Kontrakten: Hvilke standarder kan kunden kræve?
Første skridt er at forstå de formelle krav i kontrakten eller det kommende udbud. Mange kontrakter henviser direkte til AQAP 2110, der stiller krav til kvalitet, styring, sporbarhed og processer. I flere tilfælde kræves desuden ISO 27001 som dokumentation for Informationssikkerhed.
Denne vej i roadmappet handler derfor om at identificere:
- Hvilke standarder der kan kræves for at levere til forsvaret
- Hvilke processer og systemer der skal til for at blive certificeret
- Hvilke certificeringer virksomheden skal kunne bevise compliance med
Det er fundamentet: Hvis de kontraktuelle certificeringskrav ikke er opfyldt, er der risiko for, at virksomheden ikke i spil.
2. Ydelser og digitale løsninger: Hvilken informationsikkerhedscertificering spiller en væsentlig rolle? Virksomheder, der leverer software, tjenester, rådgivning, systemer eller andre ikke-fysiske produkter, bør kunne demonstrere, at informationen er beskyttet. Her er ISO 27001 ofte den centrale certificering. Den kan stå alene, men den kan også kobles direkte til NIS2-direktivets krav om governance, risikostyring, bestyrelsesansvar og dokumentation.
Denne vej i roadmappet afdækker:
- Om virksomheden skal certificeres i ISO 27001, og hvordan
- Hvordan processer, datahåndtering og leverandører løftes til certificeringsniveau
- Hvordan certificeringen skal dokumenteres
Kan sikkerheden ikke dokumenteres gennem certificerede processer og styring, kan kontrakten være tabt - selv med et stærkt produkt.
3. Fysiske produkter: Hvilken produktsikkerhedscertificering kræves?
For virksomheder, der leverer fysiske komponenter, maskiner, teknologi eller hardware, kræves dokumentation for, at produktet selv er sikkert imod cyberangreb. Derfor bliver IEC 62443 en central certificering.
Denne vej i roadmappet vurderer, om virksomheden skal:
- Certificeres i IEC 62443 for produktsikkerhed
- Sikre certificeret styring af udviklings- og produktionsmiljøet
- Dokumentere OT-sikkerhed og fabrikkens modstandsdygtighed
Her er målet at sikre, at produktet og produktionsprocessen opfylder forsvarsindustriens dokumenterede sikkerhedsniveau - ikke kun på papiret, men i praksis.
Træf beslutninger på et struktureret grundlag
“Når vi udarbejder roadmaps til ledelsen, handler det om at skabe klarhed i et for mange uoverskueligt landskab af krav, standarder og godkendelser. Ét samlet roadmap giver virksomheden et struktureret overblik over, hvad der skal være på plads, hvornår, og hvordan det dokumenteres,” fortæller Hanne M. Hansen og Peter Worck Nielsen.
Sammen med specialisterne i Bureau Veritas Cybersecurity hjælper de danske og internationale virksomheder med at undervise, rådgive og verificere sikkerhedsstandarder.
For mange virksomheder er næste skridt at få besøg af eksperter, der kan kortlægge virksomhedens sikkerhedsniveau og udarbejde et roadmap, der viser den mest hensigtsmæssige vej gennem krav, certificeringer og kontraktforventninger. Det giver ledelsen et beslutningsgrundlag og sikrer, at investeringerne i sikkerhed træffes de steder, der har størst betydning for at blive kvalificeret som leverandør.
Det er ofte langt dyrere at mangle dokumentationen, når udbuddet åbner, end at få etableret et gennemarbejdet roadmap i tide. Ikke mindst fordi ansvaret for sikkerhed i dag placeres direkte hos ledelsen og bestyrelsen.
Det starter hos ledelsen
Kravene til leverandører vil kun blive skærpet de kommende år. Det betyder, at sikkerhed skal være en integreret del af virksomhedens ledelse, styring og modenhed, hvis man vil i betragtning til fremtidige udbud.
Dokumentationen kan ikke betragtes som et bilag, der først skal udarbejdes, når udbuddet åbner. Den skal løbende kunne fremvises, forklares og forsvares - også uafhængigt af konkrete tilbud.
Netop her giver et roadmap et afgørende forspring: Det skaber overblik, prioritering og retning, så ledelsen kan træffe de nødvendige beslutninger i den rigtige rækkefølge og på et struktureret grundlag.
“Roadmappet giver ikke bare struktur. Det giver ledelsen vished for, at virksomheden faktisk er klar til at blive vurderet, både teknisk og organisatorisk,” fastslår Hanne M. Hansen og Peter Worck Nielsen fra Bureau Veritas.
I en sektor, hvor én overset sårbarhed kan være nok til at lukke døren, bliver evnen til at dokumentere sikkerhed en konkurrenceparameter på linje med pris, kvalitet og levering. De virksomheder, der arbejder systematisk, tværfagligt og dokumenteret med deres sikkerhed allerede i dag, står langt stærkere i en udbudsrunde.
Kontakt Peter Worck Nielsen fra Bureau Veritas, hvis du vil vide, hvordan et sikkerhedsroadmap kan give jeres virksomhed et forspring.
FAKTA
Om Bureau Veritas
Bureau Veritas er en af verdens største virksomheder inden for certifi cering, inspektion og rådgivning. Organisationen gennemfører hvert år mere end 7.500 audits i Danmark og hjælper virksomheder med at dokumentere sikkerhed, kvalitet og compliance gennem uafhængig tredjepartsverifi cering.
Bureau Veritas Cybersecurity forbereder virksomheder til ISO 27001, IEC 62443, AQAP 2110 og NIS2 og udarbejder roadmaps, der giver ledelsen et struktureret grundlag for at opfylde de tekniske, organisatoriske og kontraktuelle krav, der følger med leverancer til forsvaret.
