Før sommerferien indgik Folketingets partier et historisk bredt forsvarsforlig, hvor cybersikkerhed indtog en fremtrædende rolle. Sammen med EU’s nye Net- og Informationssikkerhedsdirektiv (NIS2) og en række andre lovgivningstiltag (f.eks. Dora) vil det i løbet af efteråret indebære et behov for et tempo- og paradigmeskifte i direktions- og bestyrelseslokalerne ift. cybersikkerhed – ikke blot hvad angår den nationalkritiske infrastruktur, men også i private virksomheder generelt.
Kort fortalt omfatter NIS2 og hovedparten af de andre lovgivningstiltag skærpede krav til styring af digitale risici i en lang række danske virksomheder og deres ledelsesorganer. Reglerne får en afsmittende effekt på hele forsyningskæden og sætter en streg under det ansvar, som professionelle ledelsesmedlemmer har for at godkende og føre tilsyn med cyberrisici. Reglerne vil i praksis indebære et behov for, at direktion og bestyrelse både forstår den konkrete cybertrussel i kontekst af virksomhedens samlede omstændigheder og samtidig iværksætter passende, effektive skridt på et veloplyst grundlag.
Og der er en mening med galskaben: Internettet og digitale løsninger er afgørende for dansk erhvervslivs konkurrenceevne og grønne omstilling. Samtidig er cyberangreb en central del af trusselsbilledet for alle organisationer – uanset størrelse, industri og formål. Digital krigsførelse bliver brugt flittigt i Ukraine som en offensiv kapacitet fra begge sider, herunder ift. private. Samtidig er antallet af cyberangreb mod organisationer og virksomheder stigende fra et i forvejen højt niveau. Det bekræftes fra alle seriøse sider og er konsistent med den erfaring, som vi har fra det danske marked, særligt i forhold til såkaldte supply chain- og ransomware-angreb. Ifølge en analyse fraCheck Point Researcher antallet af cyberangreb steget med knap 40 pct. alene fra 2021 til 2022.
NIS2 giver en ramme for nødvendige minimumstiltag, selvom store dele af den detaljerede regulering skal uddybes i dansk ret, der først færdiggøres relativt tæt på ikrafttrædelsestidspunktet den 18. oktober 2024. Hertil kommer, at trusselsbilledet konstant ændrer sig, og at NIS2 bygger på en logik om risikobaseret tilgang, hvilket kan gøre det vanskeligt entydigt at identificere tilstrækkeligheden i de tiltag, som understøtter både en robust beskyttelse mod cyberangreb og overholdelse af NIS2 for den konkrete virksomhed.
Vi er selv medforfattere på både Bestyrelsesforeningens vejledning om cybersikkerhed samt den netop udgivne rapport fraInternational Bar Association (IBA)om globale perspektiver på beskyttelse mod cyberrisici, hvor vi bl.a. giver 17 konkrete forslag til god governance indenfor cybersikkerhed.
Disse 17 “verdensmål” bygger på en analyse af ti forskellige landes tilgang til cybersikkerhed, herunder i USA, England, Israel, Singapore og Australien, og giver dermed et bredt funderet grundlag for at identificere de tiltag, som i international kontekst anses for god praksis.
Gennemførelsen af disse forslag vil være effektive skridt i retning af god cyberbeskyttelse og overholdelse af NIS2 isoleret set, men vil også bidrage til samfundets modstandsdygtighed generelt – et forhold, som er særligt relevant i den nye geopolitiske virkelighed.
Pointen her er, at virksomheders cybersikkerhed ikke længere er en privatsag – det er et nationalt sikkerhedsanliggende, og også af denne grund bør cybersikkerhed og de nye EU-regler som NIS2 og Dora gives den fornødne opmærksomhed af både medier, myndigheder og den ansvarlige ledelse i de danske virksomheder.
