NIS2 – Tag dit forspring!

NIS2-direktivet er endnu engang rykket, og behandlingen i Folketinget er nu udskudt fra oktober 2024 til februar 2025. Når direktivet træder i kraft, vil det stille skrappere krav til danske virksomheders cybersikkerhed, og virksomheder, der ikke lever op til kravene, risikerer både økonomiske sanktioner og at virksomhedsledelsen bliver gjort personligt ansvarlig for sikkerhedsniveauet, hvorfor arbejdet med NIS2 heller ikke alene hører til i IT-afdelingen.

Men selvom kravene endnu ikke er præciseret, er Arrows budskab klart: Der er ingen grund til at vente. I kan allerede nu tage initiativer, der sætter jer i førersædet, når de nye krav bliver en realitet.

En god måde at begynde på, er ved at fokusere på de certificeringer og standarder, der allerede er bredt anerkendte inden for cybersikkerhed. Rammeværk som ISO 27001, NIST, IEC 62443, og CIS-kontroller er alle solide fundamenter, som kan hjælpe jer med at strukturere og optimere jeres sikkerhedsarbejde. Ved at vælge et af disse frameworks kan I ikke blot forbedre jeres nuværende sikkerhedsniveau, men også sikre, at I er godt rustet til de krav, der vil blive stillet under NIS2.

En væsentlig del af forberedelsen består i at få et overblik over, hvilke assets I har, og hvorvidt disse er udsat for sårbarheder. Det kan være et smart-tv, overvågningskameraer, PC’er, robotter, tablets eller andre devices der fx kobler på jeres netværk. Har I enheder, der ikke er tilstrækkeligt beskyttet, bør I overveje, hvordan de bedst kan sikres. Det er også afgørende, at I etablerer en plan for patch management – altså hvordan I vil håndtere løbende opdateringer og sikkerhedspatches for at minimere risikoen for angreb.

Ved at tage proaktive skridt nu kan I ikke blot sikre jer mod fremtidens krav under NIS2, men også styrke jeres modstandskraft over for de cybertrusler, der bliver stadigt mere komplekse. Det handler om at komme på forkant, så I ikke kun er i compliance med reglerne, men også opnår en stærkere og mere sikker virksomhed, der er klar til at møde fremtidens udfordringer på cybersikkerhedsområdet.

Ligesom vi oplevede det med GDPR-lovgivningen vil større virksomheder generelt have ressourcerne og strukturerne på plads til at håndtere NIS2-kravene, hvorimod mange små og mellemstore virksomheder vil opleve en større udfordring. Selvom NIS2 gælder for alle virksomheder i kritiske sektorer, vil implementeringsbyrden være forholdsmæssigt tungere for SMV'er. Derfor bliver støtteprogrammer, eksterne løsninger og rådgivning særligt vigtige for denne gruppe for at sikre, at de kan leve op til direktivets krav uden at blive økonomisk overbelastet.