Forsvarsministeriet har meddelt, at NIS2-regulering i Danmark udsættes. Igen er der ikke andet end udfordringer med at skulle sikre vores kritiske infrastruktur mod cyberangreb og andet utøj. 

Sådan kunne min klumme begynde, hvis der var et formål med at brokke sig over alle ulyksalighederne, der er ved NIS2. Men det tjener ikke noget formål.

Begynd med at se på kunderne

Modsat står vi et sted, hvor it-virksomheder allerede nu kan få en stor gevinst ved at igangsætte arbejdet med at forberede sig på NIS2-kravene. I stedet for at lade sig overmande af bekymringer og frustrationer, bør it-virksomheder igangsætte arbejdet med NIS2 hurtigst muligt, da der en række opgaver, som skal løses. Jeg bliver ofte spurgt, ”hvordan kommer vi i gang?” Mit simple svar er: begynd med at kigge på jeres kunder. 

For hos it-virksomheder er det vigtigt at have fokus på, hvordan NIS2 rammer kunderne. Er kunderne i en sektor, som vil blive anset som kritisk infrastruktur, og indgår it-virksomheden som en kritisk del af kundens forretningsmodel?

Ved at begynde med at kigge på kunderne, får ledelsen i virksomheden en strategisk mulighed for at forholde sig til, i hvilket omfang det kan betale sig at investere i at kunne overholde kravene i NIS2. 

For hvis it-virksomheden har kunder i 10 forskellige sektorer, kan det betyde, at virksomheden skal forholde sig til, hvordan NIS2 bliver implementeret i alle disse sektorer. Sandsynligvis vil præmisserne for, hvornår et sikkerhedsbrud skal anmeldes, være forskelligt reguleret i de enkelte sektorer. Tilsvarende kan man tænke sig, at de enkelte myndigheder har forskelligt syn på konkrete sikkerhedskrav i den enkelte sektor. 

I sådan en situation kan det allerede nu være en god strategisk øvelse at beslutte sig for, om det på sigt giver mening at servicere kunder i alle 10 sektorer. De interne foranstaltninger, som it-virksomheden skal have styr på for at tilbyde ”NIS2-løsninger” i 10 sektorer, kan hurtigt blive en omkostningsfuld opgave. Det kan derfor for nogle virksomheder give bedre mening at fokusere på de sektorer med højest indtjening. 

En sådan øvelse bør ledelsen hos it-virksomheden igangsætte allerede nu, så man er forberedt, når den danske NIS2-lov kommer.

Forbered kravene til cybersikkerhed

Selvom vi ikke kender de konkrete krav for, hvordan NIS2 bliver implementeret i dansk ret, ved vi, at der er en række minimumskrav til informationssikkerhed. It-virksomheden bør derfor allerede nu evaluere sin nuværende cybersikkerhed og identificere eventuelle huller eller svagheder, som relaterer sig til de kunderettede løsninger. 

En sådan undersøgelse vil give virksomheden indsigt i, hvor der skal sættes ind for at opnå optimal beskyttelse. Dette kan omfatte opdatering af it-infrastrukturen, implementering af avancerede sikkerhedsforanstaltninger, udfærdigelse af politikker og uddannelse af personale i de seneste trusseltyper og beskyttelsesmetoder.

Derudover bør it-virksomheden også begynde at kigge på sine leverandører. Leverandørerne skal leve op til en række af de samme krav, som it-virksomheden skal overholde over for kunden. Så selvom en leverandør i dag har gode priser, og relationen går mange år tilbage, vil der være en udløbsdato på samarbejdet, hvis leverandøren ikke bliver i stand til at overholde NIS2-kravene.

Arbejdet med at løfte cybersikkerhedsniveauet er mange steder meget omfattende, når det først igangsættes, og derfor er der også en grund til at komme i gang hurtigst muligt. 

Tværfaglig disciplin

Når virksomheden har kortlagt sine opgaver, er det vigtigt at have øje for, at arbejdet med NIS2 er en tværfaglig disciplin, som kræver kompetencer med fokus på tekniske krav til it-sikkerhed, informationssikkerhed, juridisk indsigt i lovfortolkning, kontraktforståelse og lignende. 

Det er vigtigt at anvende de rigtige kompetencer til de rigtige opgaver. Ofte ser jeg, at hvis virksomheden bruger en type konsulent til at drive et NIS2-projekt, vil fokus i projektet ofte være styret at konsulentens kompetencer. Eksempelvis kan det hele blive en skrivebordsøvelse, hvor der er et udpræget fokus på udfærdigelse af politikker og anden dokumentation. Modsat kan det også ske, at fokus kun er på de tekniske løsninger uden tanke på, hvordan lovkravene i NIS2 skal dokumenteres. 

En vellykket NIS2-implementering vil derfor ofte kræve, at der nedsættes en arbejdsgruppe, hvor der både er repræsenteret it-tekniske kompetencer og juridiske og kontraktretlige kompetencer. 

Og det bringer mig tilbage til udsættelsen af det danske NIS2-lovforslag. For som det ser ud, vil lovforslaget blive behandlet i Folketinget i oktober og efterfølgende vedtaget ved årets udgang. Alt andet lige vil det give en meget intens implementeringsproces, hvor alle skal bruge specialister, som kan hjælpe med NIS2. Så for at undgå, at man kun kan få adgang til en type specialister, bør det også tale for at starte arbejdet op tidligst muligt.

Gør compliance til en konkurrencefordel

Hvad så med den it-virksomhed, som ikke selv bliver omfattet af NIS2, eller som har kunder, der bliver omfattet? Umiddelbart kan de jo forsætte deres virksomhed som hidtil. Når det er sagt, er vi i en tid, hvor cybersikkerhed er en topprioritet for mange professionelle indkøbere. 

Der er en vis sandsynlighed for, at it-virksomheder, der aktivt investerer i cybersikkerhed, opnår et højere niveau af troværdighed og tillid hos deres kunder, som kan være en væsentlig konkurrencefordel blandt it-virksomheder i de kommende år. 

For at slutte hvor jeg startede, er der mange udfordringer med NIS2, og derfor mange grunde til at brokke sig over NIS2. Men jeg er bange for, at de it-virksomheder som i trods ikke vil forholde sig til NIS2, før vi kender reglerne, vil spilde en masse dyrebar tid – så brug nu tiden rigtigt.