Omkring 1.400 danske virksomheder bliver snart ramt af nye omfattende it-sikkerhedskrav fra EU, da de med et nyt EU-direktiv, NIS2, udvider hvilke dele af den kritiske infrastruktur der er omfattet af it-sikkerhedskrav. Det betyder ifølge IT-Branchen, at de skal leve op til de omfattende it-sikkerhedskrav, som NIS2-direktivet kommer med.
- Mange af virksomhederne er ikke klar over, at de bliver ramt af NIS2-sikkerhedskravene, og endnu flere lever ikke op til kravene. Så det haster med at få styr på både lovgivningen, det organisatoriske og selve implementeringen, hvis de skal leve op til kravene, der træder i kraft i oktober 2024, siger Jacob Herbst, CTO i Dubex A/S og forperson for IT-Branchens policy board for cybersikkerhed.
IT-Branchen kommer derfor med en række anbefalinger, der skal sikre en succesfuld implementering af NIS2-direktivet i Danmark og på tværs af de berørte brancher.
NIS2-direktivet er en massiv udfordring
En analyse foretaget af IRIS Group på vegne af Industriens Fond, der kortlægger 12 ud af de 18 sektorer, der forventes at blive omfattet af NIS2, viser, at mere end 1.000 danske virksomheder og organisationer skal forholde sig til NIS2.
Hertil indeholder NIS2 en række skærpede krav til forsyningskædesikkerhed, hvilket betyder, at en masse underleverandører til de omfattede virksomheder også vil blive afkrævet at skulle leve op til et højere niveau af cybersikkerhed.
Analysen viser, at mere end 70% af de adspurgte virksomheder i mindre grad eller slet ikke lever op til de kommende NIS2-krav. Mere end hver femte af virksomhederne er fortsat i tvivl om, hvorvidt de vil blive berørt af direktivet.
Samtidig viser analysen, at mere end hver fjerde SMV slet ikke har sat sig ind i direktivets indhold. For store virksomheder er det hver tiende. Blandt de virksomheder der har forsøgt at sætte sig ind i direktivet, fordi de vurderer, at de bliver omfattet af direktivet, har hver femte i mindre grad eller slet ikke en plan for at leve op til dets krav.
EU forventer, at de virksomheder, der skal leve op til det nye NIS2-sikkerhedsdirektiv, skal øge deres it-investeringer med 22%.
For de danske virksomheder anslår analysevirksomheden IDC, at hver virksomhed i gennemsnit vil få en merudgift på 350.000 kr., hvilket svarer til samlede ekstra it-investeringer for de 1.400 berørte virksomheder på 448 mio. kr.
Lever virksomhederne ikke op til NIS2-direktivet, risikerer de samtidig bøder på op til 75 mio. kr. eller 2% af virksomhedens omsætning – alt efter hvad der er højest.
13 skarpe anbefalinger
IT-Branchen opfordrer derfor til, at Forsvarsministeriet i samarbejde med de ansvarlige ressortmyndigheder hurtigst muligt kortlægger og adviserer de endeligt NIS2-omfattede virksomheder, så virksomhederne kan afsætte tid og ressourcer til at træffe de nødvendige foranstaltninger og blive klar til at imødekomme direktivets krav inden oktober 2024.
Helt konkret anbefaler IT-Branchen følgende tiltag, der skal sikre, at NIS-direktivet bliver implementeret succesfuldt i Danmark:
Sverige
