Hvad er værst – bøden eller tabet af nuværende og potentielle kunder?

Annonceindlæg fra Computerworld it-jobbank

Mød 3.500+ it-talenter på IT-DAY 2026

Hos Computerworld it-jobbank er vi stolte af at fortsætte det gode partnerskab med folkene bag IT-DAY – efter vores mening Danmarks bedste karrieremesse for unge og erfarne it-kandidater.

Carsten Falshøj

Selvstændig og uafhængig cyber security-rådgiver

Jeg fungerer som uafhængig rådgiver inden for cybersikkerheds-området med særlig fokus på at afdække og rådgive beslutningstagere omkring cyberrisici og nedbringe selvsamme risici til et acceptabelt niveau på den mest omkostningseffektive måde.

Jeg har via mine mere end 21 år inden for it i en større dansk virksomhed, Hempel A/S, og mine mange år som CISO i samme virksomhed tilegnet mig stor viden og erfaring omkring cybersikkerhed og rådgivning omkring dette. En viden jeg nu sætter en ære i at skalere, så det passer til og kan anvendes i SMV-segmentet.

Af relevant uddannelse kan nævnes et jeg er "Certified Information Security Manager" (CISM) fra ISACA.

Jeg har desuden sæde i Dansk IT's fagråd for informationssikkerhed.

Hjemmeside: www.cs-c.dk

Læs mere

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Jeg har sagt det før, men gentager det gerne.

Igennem mine over 20 år indenfor it og cybersikkerhed har jeg aldrig personligt anbefalet eller implementeret nogen foranstaltninger blot fordi disse var anbefalinger fra andre. Det være sig eksterne revisorer, interne revisorer eller andre eksterne eksperter.

Beslutningen om implementering og om at følge en anbefaling har altid haft udgangspunkt i, om det gav mening for virksomheden og dens kunder.

Kravene i NIS2 direktivet giver, i mine øjne, langt hen ad vejen rigtig god mening at implementere i forhold til at beskytte egne og ikke mindst kunders data.

Hvad er NIS2 (Network and Internet Security)?

NIS2 er et EU-direktiv, som har til formål at beskytte infrastrukturen og de tjenester og produktioner, som er vigtige for samfundet, mod nedbrud og cyber trusler. Det skal ske via et højt, ensartet niveau af cyber- og informationssikkerhed på tværs af EU.

NIS2 har særligt fokus på to områder:

• Ledelseskrav til virksomheden
• Sikkerhedskrav til virksomheden

Hvornår blev NIS2 EU-direktivet vedtaget og hvornår træder det i kraft?

NIS2 direktivet blev efter mange og lange drøftelser vedtaget og publiceret d. 27. december 2022. Som normalt med disse direktiver har man ca. 18 måneder til at implementere de krævede foranstaltninger.

I tilfældet NIS2 træder direktivet i kraft d. 18. oktober 2024.

Hvem bliver omfattet af NIS2 direktivet?

Det oprindelige NIS direktiv var rettet mod sektorerne for kritisk infrastruktur, såsom:

• Sundhedssektoren
• Transportsektoren
• Vandforsyning
• Digital Infrastruktur
• Bank- og finansmarkedsinfrastruktur
• Energisektoren

• Udbydere af offentlige elektroniske kommunikationsnetværk eller -tjenester
• Spildevand og affaldshåndtering
• Fremstilling af ekstra vigtige produkter (f.eks. lægemidler, medicinsk udstyr og kemikalier)
• Fødevarer
• Digitale tjenester (f.eks. sociale netværksplatforme og datacentertjenester)
• Rummet (f.eks. rumfart)
• Post- og kurertjenester
• Offentlig administration

Min opfordring til virksomhedernes ledere og bestyrelser

Hvis man er i tvivl om, om man er underlagt NIS2 kan man få det afklaret med hjælp fra en af de mange juridiske eksperter indenfor området.

Hvis man er underligt NIS2 direktivet og ikke allerede er startet compliance arbejdet, bør man komme i gang hurtigst muligt.

Det første, man efter min mening, bør gøre er at få afklaret om man er NIS2 compliant og hvilke initiativer der i fald man ikke er, i så fald skal til for at blive compliant.

Hvad kan I som virksomhed gøre?

Den mest oplagte og effektive måde at få et overblik over sin compliancesituation er at lave eller få lavet en NIS2 fit/gap analyse.

En sådan analyse skal gerne give virksomheden og ledelsen et overblik over dens nuværende compliance situation, samtidig med at den bør give konstruktive og operationelle input til, hvilke initiativer der skal til for at virksomheden, dens ledelse og bestyrelse lever op til kravene fra NIS2.

I forhold til de tidligere nævnte to områder, ”Ledelseskrav” og ”Sikkerhedskrav”, bør man stille sig selv en lang række spørgsmål, såsom:

• Har virksomheden etableret risikostyring – husk at denne også skal beskrive roller og ansvar
• Har virksomheden udarbejdet og implementeret de krævede politikker, såsom it-sikkerheds politik, Netværkssikkerhed- og krypterings politik, politik for ansvarlig dataanvendelse m.fl. (husk, at kontrollere at indholdet i disse politikker lever op til kravene fra NIS2)
• Har virksomheden udarbejdet en it-beredskabsplan
• Er der udarbejdet awareness- og træningsplaner for de forskellige niveauer i organisationen - fra brugere til bestyrelsen

1. Få afklaret om din virksomhed er en af de hundredvis af danske virksomheder, som falder under det nye NIS2 EU-direktiv
2. Er din virksomhed omfattet af NIS2 - lav eller få hurtigst muligt lavet en NIS2 compliance fit/gap-analyse
3. Implementer de foranstaltninger fit/gap-analysen afdækker der mangler for at leve op til kravene
4. Implementer foranstaltningerne på en pragmatisk og effektiv måde, som giver mening i forhold til at beskytte dine og dine kunders data

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.