NIS2 Compliance: Er din organisation klar?

Cyberforsvaret starter nu

Ifølge Bo Drejer, GRC Manager hos Orange Cyberdefense, står vi over for en stigende risiko som hænger tæt sammen med den ustabile geopolitiske situation. Det betyder, at vores kritiske infrastruktur er særligt udsat for cyberangreb.

”Uden den modstandsdygtighed, der er en afgørende forudsætning for et stærkt cyberforsvar, risikerer vi, at vores mest vitale netværk og systemer bliver kompromitteret og kritiske data bliver låst, stjålet og delt af cyberkriminelle. Det er nødvendigt, at vi får bedre styr på cybersikkerheden, ellers øges risikoen for at vi bliver endnu mere sårbare over for afpresningsangreb i fremtiden. For at minimere risikoen må vi vurdere de forskellige trusler for organisationen og forretningen kontinuerligt, for uden et retvisende risikobillede kan man ikke lave en robust cybersikkerhedsstrategi, som både indeholder en god beredskabsplan – og en plan for implementering af de nødvendige cybersikkerhedsforanstaltninger. Hvis dette arbejde ikke allerede er i gang, så bør I starte nu”, lyder opfordringen fra Bo Drejer.

Forsinkelser skaber falsk tryghed

Selvom NIS2-direktivet er blevet forsinket flere gange, er det vigtigt at forstå, at truslen ikke venter. Det seneste forslag fra Forsvarsministeriet peger på, at NIS2-lovgivningen formentlig først træder i kraft den 1. juli 2025. Dette er ifølge Bo Drejer en bekymrende udvikling, da mange organisationer venter på den endelige lovgivning, før de handler.

"Risikoen er, at de mange forsinkelser skaber en falsk tryghed. Truslen fra cyberangreb vokser hver dag, og mange virksomheder og organisationer har endnu ikke påbegyndt en systematisk implementering af de sikkerhedstiltag, der kræves af NIS2. Det er en farlig strategi at vente", advarer han.

Undgå et konsulentkaos 

En af de største udfordringer, som Bo Drejer fremhæver, er den potentielle mangel på kvalificerede konsulenter, når først NIS2-lovgivningen er på plads. Han frygter, at en hastig implementeringsplan vil skabe kaotiske tilstande for de mange virksomheder, der endnu ikke har startet forberedelserne.

"Vi ser allerede nu, at der er et stigende behov for eksperter og konsulenter med erfaring inden for NIS2-compliance. Hvis alle venter til sidste øjeblik, risikerer vi, at der simpelthen ikke er nok ressourcer til rådighed til at håndtere den øgede efterspørgsel. Det er derfor afgørende at komme i gang nu", siger Bo Drejer.

Risikostyring og rapportering bliver fundamentalt 

Når NIS2 træder i kraft, vil risikostyring og rapportering være to afgørende elementer for alle berørte virksomheder og organisationer. Bo Drejer understreger, at alle der er berørt af NIS2 skal sikre, at deres risikostyringsprocesser er robuste og i stand til at modstå de øgede krav.

"Med NIS2 kommer der strammere krav til risikostyring. Man skal have kontrol over sine forsyningskæder, have et solidt Incident Management-system og sikre netværkssikkerheden. Rapporteringen til myndigheder bliver også skærpet – virksomheder skal kunne rapportere cyberhændelser hurtigt og effektivt", siger han.

Ledelsen kan ikke længere se bort fra cybersikkerhed 

En af de mest markante ændringer med NIS2 er, at ledelserne – både direktion og bestyrelse – vil blive holdt juridisk ansvarlige for manglende cybersikkerhed. Bo Drejer opfordrer derfor alle organisationer til at forberede sig på de nye skærpede krav.

"Cybersikkerhed er ikke længere kun et teknisk anliggende. Ledelsen har nu et direkte ansvar, og det kan blive dyrt at ignorere. Bøderne kan løbe op i flere millioner euro, hvis man ikke lever op til kravene. Det er derfor essentielt, at man som ledelse forstår sin rolle i at sikre compliance", påpeger Bo Drejer.

Risikovurdering: Det første skridt mod compliance 

Ifølge Bo Drejer er det første skridt mod NIS2-compliance en grundig risikovurdering, som kan identificere de svagheder, der skal adresseres.

"En risikovurdering giver det nødvendige overblik og muliggør en struktureret tilgang til at styrke cybersikkerheden. Uden den risikerer man at arbejde i blinde og overse kritiske sårbarheder," forklarer han.

"Hos Orange Cyberdefense hjælper vi vores kunder med at udføre risikovurderinger og sikre, at de bliver compliant. Det handler om at beskytte forretningskritiske funktioner, så man står stærkt mod de fremtidige trusler."

Kom i gang!

For danske virksomheder og offentlige organisationer, der leverer kritisk infrastruktur, er det ikke et spørgsmål om "hvis" men "hvornår" cybertruslen rammer. Implementeringen af NIS2-compliance er et nødvendigt skridt mod at sikre robustheden i vores samfunds mest vitale systemer. Som Bo Drejer fastslår:

"Jo hurtigere I kommer i gang, desto bedre er I rustet til at møde fremtidens cybertrusler."

Dette skal du være opmærksom på

I Danmark bliver den ansvarlige tilsynsmyndighed Center for Cybersikkerhed. I tilfælde af en alvorlig sikkerhedshændelse, skal de have besked inden for 24 timer. Herefter har I 72 timer til at aflevere en mere uddybende rapport og en måned til at udarbejde en fyldestgørende rapport.

Som noget nyt pålægges ledelserne (direktionen og bestyrelsen) i de berørte virksomheder, organisationer og myndigheder også et juridisk ansvar for, at der er styr på cybersikkerheden og der vanker store bøder på helt op til 10 millioner euro eller 2 pct. af den årlige globale omsætning, hvis man ikke lever op til kravene i direktivet.

Ønsker du mere information, rådgivning eller hjælp til at blive NIS2-compliant så kontakt Bo Drejer, GRC Manager, Orange Cyberdefense: bo.drejer@orangecyberdefense.com