Cybersikkerhed
NIS2: Sådan skaber vi robuste digitale samfund
Vi har konstrueret et forbundet digitalt samfund, der giver direkte indbyggede sårbarheder. Når et enkelt led i kæden brister på grund af et cyberangreb eller en uønsket hændelse, rækker problemet ofte langt ud over den enkelte virksomhed. Det er primært denne afhængighed, der har medført EU-direktivet NIS2, som også danske virksomheder og organisationer med kritisk funktion skal leve op til, når lovkravet bliver formuleret i Danmark i 2025.
Vores senior cybersikkerhedsekspert Andreas Aabrandt har sat et par ord på, hvad NIS2-direktivet betyder og den tankegang, der ligger bag. Skrøbeligheden i de mange afhængige led i samfundets forsyningskæder har it-eksperter nemlig været opmærksomme på i årtier.
Det er derfor på tide, at vi opbygger en generel modstandsdygtighed overfor cyberangreb blandt andet ved, at virksomhedernes beredskabsplaner er på plads, og de kan komme relativt hurtigt tilbage til normal drift efter et angreb eller en forstyrrende hændelse. Andreas Aabrandt, der er Senior Security Architect, PhD i Security Lab, forklarer:
“NIS-direktivet har fokus på cybersikkerhed og dermed på, hvordan vi bliver modstandsdygtige overfor de trusler, der kan ramme os digitalt. Alle virksomheder, som er omfattet af direktivet, skal have en modstandsdygtighed, selvom de ikke direkte er en it-virksomhed. Man skal som organisation indordne sig under, at cybersikkerhed er en del af det arbejde, der er med at varetage en virksomhed.”
En sikkerhedsbrist rammer bredt
Direktivet kategoriserer forskellige kritiske virksomheder ud fra størrelse, indtægt og virke. Virksomheder, som normalt anses for små, kan godt have en tilpas kritisk funktion for en gruppe borgere eller samfundet. I sådanne tilfælde kan små virksomheder alligevel være omfattet af direktivet. Det kan være virksomheder indenfor transportbranchen, eksempelvis havne eller lufthavne. Andreas siger:
“Vi kan tydeligt se afhængigheden af kritiske virksomheder, når der er strejke i for eksempel havne eller lufthavne. Så er der en masse trafik af passagerer og varer, der bliver forsinkede. Vores forsyningskæder bliver påvirket, hvis et af leddene har en brist, og så rammer nedbruddet bredt. Det er ærgerligt at blive lagt ned, hvis man kunne have undgået det med en relativt lille investering. Med direktivet bliver ledelserne forhåbentligt opmærksomme på vigtigheden af at prioritere cybersikkerhed højere.”
Ifølge Andreas er der en del solidaritet bygget ind i NIS2-direktivet. Virksomheder har ofte forskellige risikovurderinger og accept af uforudsete omkostninger. Dog er det muligt, at samfundet eller andre virksomheder er dybt afhængige af en given virksomheds drift, og dermed kan en virksomhed blive kategoriseret som vigtig eller kritisk uanset størrelse eller omsætning.
“Med direktivet forsøger man at trække de virksomheder eller sektorer, som ikke tidligere har haft det store fokus på cybersikkerhed, op på et acceptabelt niveau,” siger Andreas Aabrandt.
Beredskab er sund fornuft og god forretning
Nogle virksomheder er ikke langt fra at komme i mål, og andre har slet ikke fokuseret på det. Tanken er at få alle de omfattede virksomheder på et modstandsdygtigt niveau. Og meget af det, der skal gøres, er ifølge Andreas sund fornuft. Han forklarer:
“Virksomheder bør have en beredskabsplan for, hvordan de kommer tilbage til normal drift efter en hændelse, men mange gør det ikke eller har endnu ikke en udbredt politik for sikkerheden i virksomheden. Ambitioner og travlhed går ofte forrest. Det er et spørgsmål om prioritering, og man laver jo en kalkyle, hvor mange desværre konkluderer: Jeg tror ikke, at det er så kritisk for os.”
Afdelinger er ofte pressede, og ingen siger i øvrigt, at de gerne vil have ekstra arbejde. De løser de opgaver, de er sat til. Direktivet siger, at cybersikkerheden nu skal prioriteres af ledelsen.
Der er flere typer angreb, som kan ramme en virksomhed. Ransomware er stadig en stor problematik, og hvis det rammer, er det meget usikkert, om virksomheden kommer op på normal drift igen, og måske bliver virksomheden nødt til at bygge nye systemer op.
Statslige aktører udgør også en stigende risiko for danske virksomheder og institutioner. Det kan omhandle indhentning af forretningshemmeligheder eller sabotage. Denne risiko er på det højeste niveau i meget lang tid, og dette er samtidigt med, at vi også har en tydelig tendens mod mere digitalisering.
Der er stor forskel på, hvordan virksomheder skal arbejde med cybersikkerhed. Nogle hyrer små konsulenthuse ind for at hjælpe, mens andre har ressourcer til at hyre større konsulenthuse. Der er sjældent en simpel løsning, forklarer Andreas:
“For nogle organisationer er det en stor opgave og kræver muligvis en kulturændring. Det er en fordel at alliere sig med nogle, der tager dem med på den kulturændring, og som forstår de nye krav. Hvad der kræves afhænger af virksomhedens type, antal ansatte, omsætning osv.,” understreger han og supplerer:
“It-folk har talt om sikkerheden i årtier. Og vi er kun blevet mere sårbare. Ofte kræver det nogle ubehagelige hændelser, som vi ikke var klar til, før der indføres passende regler. Jeg tror, det er svært for mange at se nødvendigheden, inden problemet banker på.”
Hvad er NIS2?
NIS2 er et direktiv, som EU er kommet med, som medlemsstaterne skal implementere. Formålet er at øge cybersikkerheden gennem krav til primært en række virksomheder med særlig kritisk betydning og indflydelse på EU og medlemslande.
Lovforslaget er ikke vedtaget i Danmark endnu men træder i kraft engang i løbet af 2025 afhængig af branche.
Som udgangspunkt er alle virksomheder omfattet, hvis de har en vis størrelse eller er særlig kritiske. Om en virksomhed kategoriseres som vigtig og kritisk er en vurderingssag.
Giver artiklen anledning til spørgsmål, så tag fat i os.
- I kan bruge vores Security Lab med cybersikkerhedsspecialister med mangeårig erfaring i at detektere sikkerhedshuller, tolke standarder og nye krav samt skabe sikre løsninger for datadeling.
- Udnyt uvildig specialiseret rådgivning, der ikke er bundet op på salg af egne sikkerhedsløsninger.
- Vi samarbejder med stærke miljøer – fra forskning til specialiserede aktører omkring cybersikkerhed (som f.eks. D-mærket) m.m. og har erfaring i at bringe dette i praktisk anvendelse i virksomhederne.
- Du står med en handlingsplan, der giver overblik over det aktuelle trusselsbillede, indhold af NIS2 samt nødvendige indsatser for komplians med de nye krav, NIS2 stiller til din virksomhed.
- Hvis I er leverandør af et digitalt produkt til kunder, der bliver ramt af NIS2, kan I bruge et sikkerhedsreview af jeres løsning som dokumentation for cybersikkerheden i jeres produkt.
