Juni I Sikkerhed
Et nyt EU-direktiv skal tvinge en lang række virksomheder til at tage stilling til deres IT-sikkerhed. Bliv klogere på NIS2 sammen med sikkerhedsekspert hos 3, Steffen Friis.
Nu går den ikke længere - synes at være baggrunden for EU's nye direktiv, som skal øge bevidstheden om cybersikkerhed i offentlige og private virksomheder samt organisationer. Direktivet, som hedder NIS2, træder i kraft 1. juli 2025 og betyder, at alle virksomheder og organisationer i samfundskritiske sektorer, såvel som underleverandører, skal leve op til 10 minimumskrav inden for en række områder.
Det vigtige i den sammenhæng er, at NIS2 ikke dikterer et bestemt sikkerhedsniveau. I stedet kræver det, at virksomheden og dens ledelse gør sig aktuelle sikkerhedsmæssige tiltag og risici bevidst, og tager aktivt stilling til virksomhedens indsats.
Det forklarer sikkerhedsekspert hos 3, Steffen Friis.
”NIS2 er lidt særpræget i den forstand, at normalt, når vi snakker lovgivning, så kører man enten for stærkt, eller også gør du ikke, men sådan er det ikke med NIS2,”siger han.
Med NIS2 laver man en stor analyse af en virksomheds IT-systemer, netværk og sikkerhedsforanstaltninger og sammenholder det med en risikovurdering. Det kommer der så en score ud af, som fortæller noget om, i hvor høj grad virksomheden har styr på sikkerheden på en række forskellige områder.
”Det interessante ved NIS2 er, at selvom du måske kun scorer 1%, så er det egentlig fint – så længe det er mere end 0%,”forklarer Steffen Friis.
Kan du vise, hvad der ligger til grund for scoren, at du har dokumentation for overvejelser om risici, sikkerhedstiltag og kan argumentere for jeres prioritering, så vil Datatilsynet være tilfredse, hvis de kommer på visit.
”I bund og grund handler NIS2 om at tvinge virksomhederne til at gøre sig sine risici og tiltag bevidst, og om at tage aktivt stilling til sikkerhedsindsatsen,”siger han.
At blive klar til NIS2 behøver derfor ikke betyde en stor investering i nye sikkerhedsforanstaltninger – i hvert fald ikke i første omgang.
Det kan du læse meget mere om i denne artikel: NIS2 – Hvad betyder det for din virksomhed?
NIS2 er betegnelsen for et EU-direktiv, der har til formål at sikre et højt og ensartet niveau af cybersikkerhed på tværs af EU’s medlemslande.
Steffen Friis Cybersecurity Specialist hos 3 Danmark.
NIS2 er implementeret i dansk lov og gældende fra den 1. juli 2025. Hvis man ikke overholder kravene, kan det medføre bøder, påbud og i særlige tilfælde forbud mod erhvervsudøvelse for virksomhedens ledelse.
Formålet med NIS2 er i realiteten at beskytte virksomhederne, beskytte Danmark, EU og i sidste ende borgerne – for det kan potentielt ramme os alle, hvis cyberkriminelle får adgang til samfundskritiske systemer.
I takt med at digitaliseringen af verden, og ikke mindst EU, er øget, er antallet af digitale kontaktpunkter steget. Det gør det nemmere at drive forretning, men det betyder også, der er større risiko for at der opstår en sårbarhed – simpelthen fordi der er flere systemer, flere netværk. Med alle de forretningskritiske data vi lagrer digitalt, er der også en stor gulerod for cyberkriminelle til at forsøge at tvinge sig adgang.
Konflikterne i vores del af verden er desuden intensiveret de senere år, hvilket øger presset på cybersikkerheden i europæiske og ikke mindst danske virksomheder. Dette fordi Danmark er ét af de lande i EU, som har presset på for at øge sanktioner mod Rusland, øge den vestlige støtte til Ukraine og som selv har været blandt de største bidragsydere til det ukrainske forsvar – og det bringer os i skudlinjen for russiske cyberkriminelle og -sympatisører.
Endelig har man fra EU’s side konstateret, at mange virksomheder ikke er fulgt med udviklingen. Det fortæller Steffen Friis.
”Mange chefer overvurderer simpelthen virksomhedens cybersikkerhed, og det tyder jo på, der mangler den her bevidstgørelse, som NIS2 lægger op til,” siger han med henvisning til en undersøgelse lavet af Cisco i 2024.
Undersøgelsen, som blev foretaget blandt 8.000 chefer i europæiske virksomheder, viste, at 75% mente virksomheden var godt klædt på sikkerhedsmæssigt. Men kun 2% af virksomhederne blev vurderet til faktisk at have en moden cybersikkerhed.
”Det her område udvikler sig ekstremt hurtigt. Kigger man på mulige angrebsflader, så bliver der for øjeblikket bliver produceret 560.000 nye malware-typer om dagen,” fortæller Steffen Friis.
Det er væsentligt flere, end hvad mennesker kan nå at skrive, og dén udvikling er drevet af AI, som med dygtig prompting kan skrive kode på få øjeblikke, som ellers tager mennesker timer.
”Udviklingen går så stærkt, at man simpelthen bliver nødt til at have styr på sine sikkerhedsprocesser – især fordi lynhurtige internetforbindelser betyder, at hvis cyberkriminelle først får adgang, så skal de ikke bruge særligt lang tid for at trække data ud,” siger han.
Ofte sker et databrud uden virksomhederne opdager det, før det er for sent, og derfor skal NIS2 tvinge virksomhederne til at beskytte sig bedre for derved at beskytte borgerne bedre.
Første skridt mod NIS2-compliance er at få overblik over jeres nuværende sikkerhedsniveau. Det kræver ikke nødvendigvis store investeringer, men det kræver, at I kan dokumentere jeres risici, overvejelser og prioriteringer. En struktureret analyse – fx i form af en gap-analyse – giver jer indsigt i, hvor I står, og hvad I med fordel kan handle på først.
Det kan godt virke lidt uoverskueligt, når man først giver sig i kast med at tage temperaturen på sin cybersikkerhed. Derfor vælger mange virksomheder at få professionel hjælp til netop det. Hos 3Business samarbejder vi med Arctic Wolf, der tilbyder markedsledende cybersikkerhed med 24/7 overvågning, risikovurdering og konkret støtte til NIS2.
Vil I hurtigt og trygt i gang? Så tag fat i os – vi er klar til at hjælpe.
I skal blot indtaste jeres oplysninger i kontaktformularen her, og så kontakter vi jer inden for 1 time på hverdage mellem 8-16.
Brug for hjælp? Kontakt os her.