Der er under to måneder til, at NIS2-lovpakken træder i kraft.
Million dollar-question er derfor: Er Danmark og erhvervslivet klar?
Det spørgsmål var omdrejningspunktet for et arrangement i kapitalismens hellige haller hos Dansk Industri fredag 2. maj.
Første mand på scenen – for ja, alle dagens talere var mænd – var beredskabsminister Torsten Schack Pedersen (V).
Han lagde ud med at forsikre, at han ikke står klar med bødeblokken, hvis de cirka 3.200 omfattede virksomheder ikke lever op til lovkravene fra dag ét.
“Danmark er et jomfrueligt land, hvor der så lige pludselig er nogle omfattende krav. Derfor ryger bødeblokken ikke frem med det samme,” beroligede han.
Det er et et budskab, han også tidligere har delt med Computerworld.
Det handler om at komme igang
Dernæst tog advokat Christian Wiese Svanberg fra DLA Piper ordet. Han har en baggrund som databeskyttelsesrådgiver i Rigspolitiet – og som jurist hos det mest hemmelige af det hemmelige: Forsvarets Efterretningstjeneste.
“Jeg har set indersiden og oplevet hændelser, som de fleste ikke har,” siger han – og understreger:
“Der findes ikke noget, der hedder cybersikker, når man er på nettet. Det handler om resiliens.”
For hackerne skal nok finde vej ind, pointerer han. Det handler derfor om at gøre sig seriøse overvejelser om sin risikoappetit.
Når man begynder at kortlægge sine systemer og tilhørende sårbarheder, vil det formentlig gå op for mange virksomheder, at der er et stort teknisk efterslæb, der skal håndteres.
Og det er ifølge Christian Wiese Svanberg en god ting – for det viser, at man har taget styring over processen.
Selvom beredskabsministeren lover, at bødeblokken bliver i lommen i begyndelsen, er topadvokaten mere skeptisk. For det afhænger i høj grad af, hvordan virksomhedens plan ser ud for at minimere risici. Man skal altså have en plan. Tage styring.
Her kan man med fordel kategorisere sine udfordringer efter trafiklysmodellen.
“Det kan forsvares ikke at være i grøn. Men det er svært at forsvare, at I ikke har forholdt jer reelt til jeres compliance,” siger han.
For man bliver aldrig sikker nok, men topledelserne bliver nødt til at tænke grundigt over, hvorfor det er acceptabelt at befinde sig i gul – eller måske endda rød.
“Og den beslutning er det ledelsen, der skal træffe,” fastslår han.
