De fleste virksomhedsledere har hørt om de kommende EU-lovkrav inden for cybersikkerhed, men mange tror fejlagtigt, at disse kun angår de 1400 danske virksomheder, som falder direkte under EU-direktivets anvendelsesområde. Men denne opfattelse er en farlig undervurdering af den situation, der hastigt nærmer sig.
Det kommende NIS2-direktiv, der træder i kraft i oktober 2024, indeholder nemlig en overset, men altafgørende paragraf, der vil skabe en bølge af forandringer på tværs af sektorer og virksomhedsstørrelser. Bestyrelsesansvaret for cybersikkerhed indebærer nu også risikohåndtering i værdikæden.
Konsekvensen er, at alle samfundskritiske virksomheder vil tage et nøje blik på deres leverandørs sikkerhedstiltag og forlange omfattende dokumentation for disse. Det skaber en række nye udfordringer – men også muligheder.
“Det er ikke længere et spørgsmål om, hvorvidt styrket cybersikkerhed kan være en konkurrenceparameter.
Det er en kendsgerning
Behovet for robuste cybersikkerhedstiltag er selvfølgelig ikke nyt. Alle ledere uanset branche og virksomhedsstørrelse har været nødt til at forholde sig til de voldsomt stigende antal hackerangreb – ofte i form af ransomware. Men i den nye situation vil behovet for operationel risikohåndtering blive sidestillet et behov for compliance: leverandører, som ikke kan dokumentere en tilfredsstillende cyberrisikohåndtering, vil tabe kunder og forretningsmuligheder. Derfor er det ikke længere et spørgsmål om, hvorvidt styrket cybersikkerhed kan være en konkurrenceparameter. Det er en kendsgerning.
Cybersikkerhed er ikke kun it-afdelingens problem.
Ledere står således nu over for en vigtig opgave: at forstå og handle i lyset af de nye krav, og udgangspunktet for denne opgave er anerkendelsen af tre fundamentale sandheder.
En gangom måneden skriver I denne klummesætter Jan Lemnitzer, adjunkt på Institut for Digitalisering, og Johann Ole Willers, post.doc. på Institut for Organisation, fokus på, hvordan cybersikkerhed er en ledelsesopgave, der går på tværs af organisationen og involverer mange andre dele af organisationen end ’blot’ it-afdelingen.
forskere fra CBS en klumme i Børsen, hvor de giver læserne et aktuelt og forskningsbaseret perspektiv på de
udfordringer, ledere står med.
1. Den første er, at cybersikkerhed er et ledelsesansvar, som ikke kan uddelegeres til it-afdelingen. Cybersikkerhed skal forstås som et strategisk satsningsområde, som berører hele virksomheden. Ledelsen har til opgave både at udvikle strategier og skabe en tilsvarende virksomhedskultur.
2. Den anden sandhed er, at dette ikke kan udskydes. Der er en reel risiko for at genskabe kaosset i ugerne før gdpr trådte i kraft i maj 2018. Virksomheder skal vise over for deres kunder, at de er et ansvarligt medlem af deres forsyningskæder, og det er en tidskrævende proces, som kræver et helt nyt overblik over virksomhedens organisationsstruktur. Det indebærer, at ledelsen skaffer sig et detaljeret overblik over deres it-infrastruktur, hvem der har adgang, og hvordan tilsvarende risici er håndhævet.
3. Den tredje sandhed er, at cybersikkerhed i høj grad er et forsyningskædespørgsmål, og denne sandhed er gældende for både samfundskritiske og øvrige virksomheder. Ledere må derfor se grundigt på deres egne leverandører, især dem med direkte adgang til deres netværk eller data. Ransomwareangrebet imod hostingudbyderen Azerocloud i august er et blandt mange eksempler, som viser, hvordan utilstrækkelige cybersikkerhedstiltag blandt leverandører kan være livstruende for virksomheder, specielt smv’er som i dette tilfælde Chili Klaus.
Hvad skal der så gøres? Den største udfordring er at opgradere cybersikkerheden på ofte ganske begrænsede budgetter. Det kræver smarte beslutninger og prioritering. Ledere skal derfor tilegne sig en minimumsforståelse for cybersikkerhed. Bestyrelsesforeningens etablering af et center for cyberkompetencer er et vigtigt skridt på vejen og kan blive til en værdifuld ressource for danske ledere.
Imidlertid forbliver det et stort problem, at eksisterende cybersikkerhedsstandarder og -retningslinjer typisk er målrettet store virksomheder, som ikke afspejler realiteterne i smv’er. Det er således ikke forundrende, at en undersøgelse fra Aalborg Universitets Torben Elgaard Jensen og Laura Kocksch viser, at smv’ers arbejde med cybersikkerhed ofte er karakteriseret ved pragmatisme, manglende viden og lappeløsninger.
“De færreste danske virksomheder har ressourcer til at gøre brug af eksisterende certificeringer, og der er et presserende behov for retningslinjer, som er målretter smv’ers realitet
De færreste danske virksomheder har ressourcer til at gøre brug af eksisterende certificeringer, og der er et presserende behov for retningslinjer, som er målretter smv’ers realitet. Det er det hul, vi på CBS ønsker at afhjælpe med vores nye projekt ’Cybersikkerhed i forsyningskæder’, som er finansieret med støtte fra Industriens Fond.
Styrket cybersikkerhed er et konkurrenceparameter, og de nye EU-regler understreger nødvendigheden for en øget indsats på området. Om danske virksomheder kan levere og styrke konkurrenceevnen ved at være ansvarlige dele af forsyningskæden, vil afhænge af, om ledere på tværs af samfundet er klar til at leve op til udfordringen. Der er kun et år tilbage.
