I sidste uge vedtog EU-Parlamentet sikkerhedsdirektivet NIS2, som skruer voldsomt op for kravene til cybersikkerhed hos over 1000 danske virksomheder, fordi de arbejder med infrastruktur, som har kritisk betydning for vores samfund – f.eks. energi, transport og vand.
Nu starter et kapløb med tiden: Allerede om 21 korte måneder (medio 2024) skal forbedringerne være på plads. Ellers kan der gives bøder på 2 pct. af virksomhedens global årsomsætningen eller op til 10 mio. euro.
“Bottom line er: Risikoen for bøder er til stede
Til historien hører også, at NIS2-kravene ligger på et niveau, der langt overstiger, hvad de fleste virksomheder kan præstere i dag. I det perspektiv er 21 måneder særdeles kort tid. Situationen kræver hurtig indsats, men det er ikke den reaktion, jeg ser derude – ikke endnu i al fald.
Hver dag er jeg i dialog med C-level i store danske virksomheder, og her kan jeg konstatere, at de pt. kæmper med udfordringer, som de aldrig har stået overfor før: høj dollarkurs, høj inflation, dyr energi, dyre råvarer og ustabile leverancer for blot at nævne nogle få.
Presset på bundlinjen skaber fare for, at compliance med NIS2 ryger i “det ordner vi senere”-bunken af opgaver. Og for at gøre ondt værre er mange direktioner og bestyrelser ikke klar over, hvor store infrastrukturelle ændringer, der faktisk skal til for at indfri NIS2-kravene. Men bottom line er: Risikoen for bøder er til stede.
Der er ingen kære mor – alle virksomheder, der vil være sikre på at undgå bøder i millionklassen, bør starte deres forberedelser nu. Hvordan der opnås compliance, varierer fra virksomhed til virksomhed. Men her er to råd, der passer til alle:
1) Ledelsen bør fra starten skære igennem de traditionelle (læs: langsommelige) magtstrukturer, der typisk hersker mellem de forskellige afdelinger. Ellers går der lynhurtigt politik i beslutningerne, og det tager tid. Alle skal med på vognen og løfte i flok. Den ordre kan kun komme fra direktionsgangen.
2) Lad jeres sikkerhedspartner gennemføre et NIS2-assessment, så I får overblikket til at planlægge og gennemføre præcis de forbedringer, der skal til for at nå compliance – før tiden rinder ud.
