Virksom­heder kan drage fordel af EU’s nye regler for it-sikkerhed ved at starte i dag

Af MALENE STIDSEN, PROGRAMCHEF, INDUSTRIENS FOND og MIKAEL JENSEN, DIREKTØR, D-MÆRKET

Flere end tusind danske virksomheder bør have et stort rødt kryds i kalenderen den 17. oktober 2024. En torsdag, halvandet år ude i fremtiden, kan synes frygteligt langt borte – særligt med tanke på de seneste års store omvæltninger.

Alligevel er det nødvendigt for danske virksomhedsledere at være opmærksomme på den dag, hvor EU’s nye direktiv for it-sikkerhed NIS2 træder i kraft. Direktivet medfører nemlig nye og væsentlige krav, som de færreste af de omfattede virksomheder opfylder.

Industriens Fond har undersøgt NIS2-paratheden blandt netop de virksomheder, og resultaterne understreger, at mange har et stort arbejde foran sig.

Undgå kø

Hver tredje af de adspurgte virksomheder ved eller mener ikke, at direktivet direkte påvirker dem. Derudover har en betragtelig del af virksomhederne endnu ingen plan for, hvordan de vil følge direktivet.

Virksomhedernes forberedelse bør starte i dag. Det er der tre væsentlige grunde til:

It-sikkerhed er ikke en ny øvelse, men det er langt fra et quick fix at sikre efterlevelse af direktivet.

Som eksempel skal de omfattede virksomheder sikre, at it-sikkerhed er styret og forankret i ledelsen, og at der er et samarbejde på tværs af organisationen for at leve op til de tekniske og organisatoriske krav.

Den øvelse kræver tid og ressourcer, og dermed kan dagene frem til efteråret i 2024 hurtigt blive knappe, hvis ledere ikke allerede nu gør sig bevidste om, hvad direktivet betyder for deres organisation og forretning.

NIS2 påvirker virksomheder, der har en samfundskritisk funktion. Nogle er større virksomheder med erfaring med at leve op til lignende lovgivning, mens andre har færre end 50 medarbejdere og ingen historik med at have it-sikkerhed som en prioritet. I begge tilfælde kan der være et udtalt behov for kompetencer, hvilket også kommer til udtryk i analysen fra Industriens Fond.

76 pct. af virksomhederne forventer at bruge ekstern rådgivning for at leve op til direktivets krav. Behovet for rådgivning kan altså nemt blive så stort, at der bliver rift om rådgiverne i takt med, at vi nærmer os oktober næste år.

For at undgå at ende i køen ved rådgivningsskranken er det nødvendigt for virksomhedsledere allerede nu at undersøge, hvorvidt de bliver direkte ramt af NIS2 eller indirekte som underleverandør, og hvordan de forbereder sig.

Brug presset som fordel

Mange virksomheder befinder sig helt enkelt allerede på en platform i lys lue, men det betyder ikke, at NIS2 og it-sikkerhed udelukkende er bål og brand. Arbejdet med it-sikkerhed behøver ikke blot handle om compliance, for der er stor forretningsmæssig værdi at hente.

Virksomheder, der arbejder aktivt med it-sikkerhed, oplever nemlig, at de opnår konkurrencefordele i takt med antallet af sikkerhedsinitiativer, de indfører. Det kan være meget konkrete fordele som mere effektive arbejdsprocesser i virksomheden, større tillid fra partnere og investorer samt at tiltrække og fastholde kunder.

Gennem den prisme kan virksomheder vende presset fra NIS2 til en fordel, som giver al mulig mening at tage hul på og afsøge mulighederne for med det samme.

Selvom der med halvandet år til deadline endnu ikke er svar på, hvordan den danske udmøntning af NIS2 kommer til at se ud, findes der allerede værktøjer, som kan hjælpe virksomheder med forberedelserne.

Mærkningsordningen D-mærket, der er født af Industriens Fond i samarbejde med Dansk Industri, Dansk Erhverv, SMV Danmark og Forbrugerrådet Tænk, er en helt konkret standard, som kan sikre efterlevelse af NIS2.

Dermed er der rent faktisk mulighed for, at både små og store virksomheder på tværs af alle brancher undgår at stå med håret i postkassen om halvandet år, når kravene kommer rullende.