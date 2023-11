Der var panik på de danske ledelsesgange i 2018 i dagene op til, at gdpr-forordningen trådte i kraft. I virksomhederne var man i vildrede over, hvad man reelt skulle gøre for at leve op til kravene.

Historien gentager sig i øjeblikket. Om et år træder EU’s nye direktiv for cybersikkerhed, NIS2, i kraft, og der er endnu ingen svar på, hvordan den danske lovgivning kommer til at se ud.

Godt 1000 samfundskritiske virksomheder bliver direkte omfattet og skal leve op til skrappere regler. Samtidig bliver tusindvis af virksomheder indirekte omfattet i form af deres rolle som underleverandører.

Begge grupper famler i øjeblikket i blinde. En analyse fra Industriens Fond viste inden sommer, at 70 pct. af de omfattede virksomheder i mindre grad eller slet ikke lever op til samtlige af NIS2-direktivets krav. Og flere end hver femte er i tvivl, om de bliver berørt.

Samtidig giver mange virksomheder udtryk for, at de venter med at forberede sig på kravene, før de ved, hvordan lovgivningen præcis kommer til at se ud i Danmark.

Det er legitime overvejelser, men virksomheder bør alligevel gå i gang allerede i dag. Dels fordi cybertruslen konstant bliver større og mere avanceret. Dels fordi efterlevelse af NIS2 ikke er et quickfix.

Minimumskrav er klar

Med direktivet er der eksempelvis krav til styring og forankring i ledelsen, men også ti overordnede minimumskrav, hvor bl.a. forsyningskædesikkerhed kan være omfattende at implementere, og så kan 12 måneder frem mod deadline hurtigt forsvinde mellem hænderne.

Virksomheder kan derfor allerede nu arbejde ud fra direktivets eksisterende minimumskrav, for uanset hvordan den kommende danske lovgivning ser ud, vil de gælde for alle, der bliver direkte omfattet af direktivet.

Positivt er det dog, at arbejdet ikke kun behøver være en sur pligt, som handler om at leve op til direktivet for direktivets skyld.

Indsatsen både styrker forsvaret mod de cybertrusler, der har enorme økonomiske implikationer for en virksomhed og giver mærkbare konkurrencefordele.

Sidste år viste analysen “Cyberbarometeret”, der bygger på besvarelser fra 729 smv’er, at jo flere sikkerhedstiltag en virksomhed indfører, jo flere konkurrencefordele oplever de.

Det kommer eksempelvis til udtryk i større tillid fra investorer, større innovation og bedre evne til at tiltrække nye kunder og kompetente medarbejdere.

Ro i maven

NIS2-direktivet kan med andre ord være et godt afsæt til at styrke cybersikkerheden og hente konkurrencefordele.

Og i modsætning til for fem år siden med gdpr, så er der hjælp at hente hos mærkningsordningen D-mærket. Hvis virksomheder ikke lever op til D-mærket, så lever de heller ikke op til NIS2.

Med D-mærket kan virksomheder sikre, at de lever op til minimumkravene i NIS2, hvis de har brug for det.

Med mærkningsordningen kan virksomheder altså allerede i dag arbejde med de initiativer og tiltag, der sikrer efterlevelse til oktober næste år. Bag certificeringen står Industriens Fond i samarbejde med Dansk Erhverv, Dansk Industri, SMV Danmark og Forbrugerrådet Tænk.

I takt med at myndighederne lægger sig fast på, hvordan direktivet skal implementeres i Danmark, bliver D-mærket løbende tilpasset, så certificerede virksomheder kan have tillid til og ro i maven over, at de med D-mærket lever op til de nye krav.

Dermed er der heller ingen undskyldning for ikke at gå i gang med at styrke cybersikkerheden.

Hverken hvis ambitionen blot er at leve op til kravene i NIS2, eller hvis virksomheder bruger direktivet som anledning til at styrke sit forsvar mod de stadigt tiltagende cybertrusler og derigennem styrke sin konkurrenceevne.