NIS2 og den manglende kapacitet til at nå implementeringen
Cybertruslen er stigende, krigen i Ukraine og andre geopolitiske trusler har skærpet kravene til styring og sikring af it-miljøer. Uanset om det drejer sig om en global koncern eller en lille virksomhed, er det afgørende at have en effektiv styring af it-ressourcerne og en god risikostyringsproces, så sikkerhedsindsatsen kan målrettes.
It-governance og risikostyring bør derfor være et helt centralt tema i alle organisationer, og i samfundskritiske sektorer bliver det nu et lovkrav.
Samspil skaber succes
Ved at integrere it-governance og virksomhedens risikostyringsproces er det muligt for ledere at træffe beslutninger på et informeret grundlag. Dermed forbedres håndteringen af it-konsekvenser af forretningsmæssige handlinger.
Et afgørende succeskriterie er, at den operationelle sikkerhed hænger sammen med beslutningsprocessen, it-governance og risikostyring, så sikkerhedsinitiativer og kontroller reelt har en effekt på sikkerheden. Dermed undgår man ‘papir sikkerhed’, der er sikkerhedsgovernance, som ikke understøttes operationelt.
Virksomheders påvirkning af NIS2
NIS2 (Netværks- og Informationssikkerhedsforordningen) er et nyt EU-direktiv, der har til formål at forbedre modstandskraften og reaktionskapaciteten i situationer med kritisk infrastruktur og opretholde forsyningssikkerheden i samfundet.
Der er nogle grundlæggende implementeringskriterier, som alle lande skal opfylde. Med de nye regler stilles mange og komplicerede krav til virksomheders it-sikkerhed. Det betyder, at virksomheder i kritiske sektorer skal investere betydelige midler for at opfylde disse regler.
Det medfører også, at mange virksomheder ikke har den nødvendige kapacitet til at opfylde disse krav. Manglen på kapacitet kan skyldes manglende viden og erfaring inden for it-sikkerhed.
Implementeringen kræver tid og ressourcer
Uanset betyder det dog, at mange virksomheder er nødt til at bruge væsentlige ressourcer og tid på at uddanne deres medarbejdere og samtidig sikre tilstrækkelig kapacitet til at dække kravene for NIS2. Det øger omkostningerne hos virksomhederne endnu mere, og det kan derfor være vanskeligt for at opfylde alle de krav, som de er underlagt via NIS2.
Med den aktuelle kamp om de rette talenter kan det virke som en umulig opgave. Og for at sikre, at alle virksomheder har mulighed for at opfylde NIS2-kravene, er det vigtigt, at alle har adgang til de nødvendige ressourcer.
En god implementering kræver nødvendig kapacitet
Det betyder, at det offentlige sammen med de private virksomheder har et fælles ansvar for at sikre, at virksomhederne har den nødvendige kapacitet til at overholde NIS2-reglerne.
Hvis det ikke sker, kan det føre til alvorlige konsekvenser for både virksomheder og samfund. Det er derfor vigtigt, at virksomhederne selv påtager sig dette ansvar, men også at de får den nødvendige støtte til at opfylde de nye krav.
Støtten kunne for eksempel være i form af midler til offentlige virksomheder, sikring af uddannelse i sikkerhedskompetencer og ikke mindst en tydeliggørelse af krav til de private virksomheder, der rammes både direkte og indirekte af NIS2.
Der er altså et stykke vej igen, før NIS2 reelt kan være implementeret i de offentlige og private virksomheder i Danmark. Vi må håbe, at kravene og tydeliggørelsen til de danske virksomheder sker hurtigt, så implementeringen kan komme godt i gang.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
