Et digitalt samfund kan på mange måder også være et skrøbeligt samfund. Derfor er det også helt naturligt, at der med NIS2-direktivet stilles større krav til virksomheders digitale modstandsdygtighed. Men hvad er den bagvedliggende tanke med NIS2, og hvad skal virksomhederne være klar over? Det gør Alexandra Instituttets cybersikkerhedsekspert, Andreas Aabrandt os klogere på her.

Vi har konstrueret et forbundet digitalt samfund, der giver direkte indbyggede sårbarheder. Når blot ét led i kæden svigter på grund af et cyberangreb eller en uventet hændelse, kan konsekvenserne hurtigt brede sig langt ud over den berørte virksomhed. Det er primært denne afhængighed,

“NIS-direktivet har fokus på cybersikkerhed og dermed på, hvordan vi bliver modstandsdygtige overfor de trusler, der kan ramme os digitalt. Alle virksomheder, som er omfattet af direktivet, skal have en modstandsdygtighed, selvom de ikke direkte er en it-virksomhed. Man skal som organisation indordne sig under, at cybersikkerhed er en del af det arbejde, der er med at varetage en virksomhed,” forklarer Andreas Aabrandt, der er Senior Security Architect, PhD i Alexandra Instituttets Security Lab

En sikkerhedsbrist rammer bredt

Direktivet kategoriserer forskellige kritiske virksomheder ud fra størrelse, indtægt og virke. Virksomheder, som normalt anses for små, kan godt have en tilpas kritisk funktion for en gruppe borgere eller samfundet. I sådanne tilfælde kan små virksomheder alligevel være omfattet af direktivet.

“Vi kan tydeligt se afhængigheden af kritiske virksomheder, når der er strejke i for eksempel havne eller lufthavne. Så er der en masse trafik af passagerer og varer, der bliver forsinkede. Vores forsyningskæder bliver påvirket, hvis et af leddene har en brist, og så rammer nedbruddet bredt. Det er ærgerligt at blive lagt ned, hvis man kunne have undgået det med en relativt lille investering. Med direktivet bliver ledelserne forhåbentligt opmærksomme på vigtigheden af at prioritere cybersikkerhed højere”.

Ifølge Andreas er der en del solidaritet bygget ind i NIS2-direktivet, da der på nuværende tidspunkt ikke er tydelige lovkrav, hvilket medfører forskelle i risikovurderinger. På den måde kan samfundet eller andre virksomheder være dybt afhængige af en given virksomheds drift, hvorfor NIS2 fastlægger standarder for sikkerheden.

“Med direktivet forsøger man at trække de virksomheder eller sektorer, som ikke tidligere har haft det store fokus på cybersikkerhed, op på et acceptabelt niveau,” siger Andreas Aabrandt.

Beredskab er sund fornuft og god forretning

Ifølge Andreas Aabrandt handler NIS2 derfor om at få alle virksomhederne med på et grundniveau af cybersikkerhed. Meget af det, der skal gøres, er ifølge Andreas sund fornuft.

“Virksomheder bør have en beredskabsplan for, hvordan de kommer tilbage til normal drift efter en hændelse, men mange gør det ikke eller har endnu ikke en udbredt politik for sikkerheden i virksomheden. Ambitioner og travlhed går ofte forrest. Det er et spørgsmål om prioritering, og man laver jo en kalkyle, hvor mange desværre konkluderer: Jeg tror ikke, at det er så kritisk for os”.

Afdelinger er ofte pressede, og ingen siger i øvrigt, at de gerne vil have ekstra arbejde. De løser de opgaver, de er sat til. Direktivet siger, at cybersikkerheden nu skal prioriteres af ledelsen.

Der er stor forskel på, hvordan virksomheder skal arbejde med cybersikkerhed. Nogle hyrer små konsulenthuse ind for at hjælpe, mens andre har ressourcer til at hyre større konsulenthuse. Der er sjældent en simpel løsning, forklarer Andreas:

“For nogle organisationer er det en stor opgave og kræver muligvis en kulturændring. Det er en fordel at alliere sig med nogle, der tager dem med på den kulturændring, og som forstår de nye krav. Hvad der kræves afhænger af virksomhedens type, antal ansatte, omsætning osv.,” understreger han og supplerer:

“It-folk har talt om sikkerheden i årtier. Og vi er kun blevet mere sårbare. Ofte kræver det nogle ubehagelige hændelser, som vi ikke var klar til, før der indføres passende regler. Jeg tror, det er svært for mange at se nødvendigheden, inden problemet banker på”.

Du kan læse mere om NIS2, og hvad virksomhederne skal være opmærksomme på her

Foto: Alexandra Instituttet