Branchedirektøren: Der er ikke tid til at vente på myndighederne – virksomheder og organisationer skal i gang med NIS2-arbejdet nu
Globeteams artikelserie om NIS2-implementering og NIS2-compliance anlægger forskellige perspektiver på det nyeste sikkerhedsdirektiv fra EU. I denne artikel fortæller Rikke Hougaard Zeberg, branchedirektør i DI Digital, hvorfor det haster med at komme i gang med NIS2-implementeringen, og hvorfor der er brug for at forankre beredskabsplaner og krisestyring internt.
Interview med Rikke Hougaard Zeberg, branchedirektør i DI Digital
Hvad er for jer den største forretningsmæssige gevinst i arbejdet med NIS2?
“Én af de største trusler mod det danske samfund er cyberangreb. Med NIS2 kommer der er et større fokus på, at man ikke bare selv, men også samarbejdspartnere, leverandører og kunder har styr på it-sikkerheden. Så der kommer en direkte kobling mellem det, at man selv tager et større digitalt ansvar, og det, at man dermed tager et større samfundsansvar, der medvirker til at skabe et mere robust Danmark. Jeg er overbevist om, at den kobling bliver en konkurrenceparameter. Støttet af Industriens Fond og i samarbejde med Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk står Dansk Industri bag D-mærket. D-mærket er en ny mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse. Med en kombination af dokumenteret NIS2-compliance og et D-mærke kan man vise, at man tager it-sikkerhed alvorligt. Det, tror jeg, bliver et utroligt stærkt signal at sende til omverdenen.”
Hvad er de største udfordringer i forhold til at blive NIS2-parat inden efteråret 2024?
“Lige nu er den største udfordring, at vi alle sammen går rundt og venter på, at myndighederne får implementeret NIS2 i den danske lovgivning. Der udestår beslutninger om, hvilke virksomheder der helt præcist er omfattet, og hvordan NIS2 skal implementeres i de forskellige sektorer. Om det skal være en decentral implementering, hvor hvert ministerium får ansvaret for at efterleve reglerne på deres eget område, eller om det skal håndteres centralt, hvor ét ministerium har hovedansvaret. Der mangler også at blive truffet beslutning om, hvilken myndighed der får tilsynsopgaven. Al den uvished skaber uro. Vi håber, at myndighederne snart træffer de nødvendige beslutninger omkring omfang og ansvarsfordeling, og så håber vi på et ensartet regelsæt, fordi det vil gøre opgaveløsningen mere overskuelig og modvirke risikoen for, at virksomheder bliver mødt af forskellige krav fra forskellige sektorer.”
Hvordan anbefaler du, at virksomheder tager hul på arbejdet med NIS2?
“Et godt sted at begynde er at kigge på de processer, man har etableret for håndteringen af it-systemer og leverandørkontrakter. Få et overblik over det. Derudover er noget af det nye ved NIS2, at man skal have bedre styr på sit kriseberedskab og sin krisestyring. Hvem gør hvad, hvis der sker noget. Derfor skal man have kigget beredskabsplanerne efter og sørge for at lave en genopretningsplan, så man ved, hvad man skal gøre, hvis der er kritiske systemer, der pludselig ikke virker. Et andet vigtigt krav i NIS2 er, at ledelsen bliver involveret helt fra start i implementeringen. Når man arbejder med informationssikkerhed, laver man hele tiden risikoafvejninger af, hvad sandsynligheden er for forskellige hændelser, og så prioriterer man indsatserne derefter. De indledende prioriteringer skal ledelsen lave. Det er ikke en opgave for teknikere eller jurister.”
Hvilke kompetencer har man brug for internt og eksternt for at komme i mål med NIS2?
“Opgaverne relateret til NIS2 går på tværs af tekniske, juridiske og selvfølgelig forretningsmæssige kompetenceområder. Det er en tværfaglig opgaveløsning. Derudover vil jeg sige, at sikkerhed nogle gange bliver betragtet som noget yderst kompliceret. Det er selvfølgelig rigtigt, at der er noget teknik i det, men når det kommer til NIS2, handler det også om sund fornuft og om at have styr på sin forretning. Der er rigtig meget rugbrødsarbejde i at tænke forskellige risikoscenarier igennem og gennemgå forretningsprocesserne og it-processerne. Min pointe er, at man kan komme langt selv, hvis man sætter de rigtige folk sammen. Man kan godt få hjælp udefra til noget af det, men i bund og grund er det jo virksomheden eller organisation selv, der ved allermest om forretningen. Når der sker en hændelse, går det ofte galt, hvis dem, der har været med til at udarbejde kriseberedskabet ikke også er involveret i selve krisestyringen. Der skal simpelthen være en gennemgående, intern forankring.”
Hvad håber du, at virksomheder og organisationer har lært af tidligere sikkerhedsimplementeringer som eksempelvis GDPR?
“Noget af det, der skete sidst med GDPR-implementeringen, var, at der gik lang tid, før myndighedernes vejledning til implementering blev færdig. Læringen fra dengang er, at hvis man går og venter på, at alt skal falde på plads, før man tager fat på arbejdet, så kommer man for sent i gang. Derfor er vores budskab, at selvom vi pt. venter på svar, så skal man alligevel gå i gang med det, man kan. Det vil eksempelvis sige udarbejde risikovurderinger og få ledelsen involveret i processen helt fra begyndelsen af.”
Du kan læse mere om Globeteams artikelserie her.
Husk at tilmelde dig vores NIS2-nyhedsbrev. Så er du sikker på at modtage alle artikler i serien, helt automatisk.
Om Rikke Hougaard Zeberg
Rikke Hougaard Zeberg er branchedirektør i DI Digital og tidligere direktør i Digitaliseringsstyrelsen. DI Digital er et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik og kommunikation og repræsenterer ca. 900 virksomheder.
Tilmeld dig NIS2-nyhedsbrev her
Vil du være sikker på at modtage alle artikler i NIS2-artikelserien, så husk at tilmelde dig vores NIS2-nyhedsbrev, som er målrettet personer, der arbejder med compliance og i særdeleshed NIS2.
