5 minute read
D-MÆRKET HJÆLPER
from Cybersikkerhed
Dig Gennem Strengere
EU-KRAV
EU er på vej med strammere krav til it-sikkerhed. Med D-mærket kan du sikre dig, at du lever op til kravene og dokumentere det for kunder.
I2024 træder et nyt it-sikkerhedsdirektiv i kraft (NIS2).
Det skal styrke it-sikkerheden, og ifølge en ny kortlægning vil det i første omgang berøre godt
1.000 virksomheder på tværs af 12 sektorer.
- Det kan godt blive flere, der bliver direkte omfattet af direktivet, men det afhænger lidt af, hvordan loven bliver implementeret i Danmark, siger Morten Rosted Vang, fagleder for digital ansvarlighed i Dansk Industri (DI).
Derudover fremhæver Morten Rosted Vang, at vigtige leverandører til de omfattede virksomheder også kommer til at mærke NIS2-kravene.
Skulle nogen af de berørte virksomheder blive fanget i ikke at leve op til kravene, vil det give bøder på op til 2 procent af virksomhedens globale omsætning.
- Hvis myndighederne gør som de plejer og implementerer NIS2 efter sektoransvarsprincippet, kan de få store problemer med at skaffe medarbejdere nok til de mange nye tilsynsenheder i ressortministerierne, fordi der også er brug for de samme cyber-kompetencer i det private. Samtidig kan virksomhederne drukne i bureaukrati, hvis de forskellige myndigheder implementerer reglerne forskelligt. Vi kan potentielt ende i en situation, hvor virksomheder, der er omfattet af flere sektorer, skal efterleve forskellige krav og tilsynsregimer,” siger Morten Rosted Vang.
D-mærket er din garanti Heldigvis er der hjælp at hente. Virksomheder og organisationer kan nemlig sikre sig, at de lever op til minimumskravene ved at blive D-mærket.
- D-mærket bygger på europæiske og internationalt anerkendte standarder og rammeværker, og der er god overensstemmelse mellem D-mærkets kriterier og krav og NIS2-direktivets krav til hhv. styring og forankring i ledelsen samt krav til risikostyring og sikkerhedsforanstaltninger og NIS2-direktivets minimumskrav som helhed, siger Morten Rosted Vang. Han opfordrer desuden virksomheder i al almindelighed til at gøre brug af D-mærket.
- Ansvarlig it er helt nødvendig for at vi skal kunne bevare tiltroen til den omfattende digitalisering af verden, som vi ser ind i. Med D-mærket signalerer du ansvarlighed og kan dokumentere det for kunder og myndigheder, og du kan selv sove tryggere i visheden om, at du har gjort, hvad du kunne for at undgå digitale uheld eller kriminalitet, siger Morten Rosted Vang.
Morten Rosted Vang, fagleder, digital ansvarlig og cybersikkerhed
Dansk Industri.
Fakta
ET SAMLET DANMARK STÅR BAG D-MÆRKET!
Industriens Fond står bag D-mærket i samarbejde med Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk.
D-mærket støttes af Erhvervsstyrelsen og er en uafhængig privat organisation.
NYE IT-SIKKERHEDSKRAV
Til Danske Virksomheder
VIL KOSTE OP MOD ½ MIA. KR.
Over 1.400 danske virksomheder står til at blive ramt af det kommende NIS2-sikkerhedsdirektiv fra EU, hvilket vil kræve samlede it-investeringer på op til 448 mio. kr.
Et stort antal danske virksomheder bliver snart ramt af nye massive it-sikkerhedskrav fra EU. Men de færreste af de ramte virksomheder er sandsynligvis klar over det, og risikerer derfor at blive ramt af millionstore bøder, hvis de ikke lever op til kravene. Fra medio 2024 skal over 1.400 danske virksomheder have implementeret en række omfattende sikkerhedsforanstaltninger, da de med et nyt EU-direktiv, NIS2, pludselige bliver defineret som en del af den kritiske infrastruktur. Tidligere har blot 130 danske virksomheder været en del af den kritiske danske infrastruktur.
Bl.a. bliver dele af detailhandlen samt en række fødevareproducenter, restauranter og transportvirksomheder, nu defineret som en del af den kritiske infrastruktur, der skal leve op til de massive it-sikkerhedskrav, som NIS2-direktivet kommer med. ”NIS2 har mange gode elementer, da vi pga. digitaliseringen af samfundet også naturligt får flere virksomheder, der bliver kritiske for Danmark. Men mange af de 1.400 virksomheder ved sandsynligvis ikke, at de pludselig er blevet en del af Danmarks kritiske infrastruktur. De står nu overfor massive it-investeringer, og risikerer enorme bøder, hvis de ikke når at implementere de nye sikkerhedskrav i tide,” siger Natasha Friis Saxberg, adm. direktør i IT-Branchen.
Lever virksomheden ikke op til NIS2-direktivet, risikerer de bøder på op til 75 mio. kr. eller 2% af virksomhedens omsætning – alt efter hvad der er højest.
Virksomhederne står overfor massive investeringer EU forventer, at de virksomheder, der skal leve op til det nye NIS2-sikkerhedsdirektiv skal øge deres it-investeringer med 20-30%.
For de danske virksomheder anslår analysevirksomheden IDC, at hver virksomhed i gennemsnit vil få en merudgift på 350.000 kr., hvilket svarer til samlede ekstra it-investeringer for de 1.400 berørte virksomheder på 448 mio. kr. IT-Branchen advarer om, at så store investeringer ikke bare er noget, man implementerer på kort tid.
”Selvom direktivet først træder i kraft i 2024, så er implementeringstiden stadig forholdsvis kort, når det handler om så store it-investeringer. Det er derfor vigtigt, at myndighederne hurtigt får orienteret alle berørte virksomheder om, at de er omfattet af det kommende sikkerhedsdirektiv. Ellers risikerer
Danske myndigheder og virksomheder har en tendens til at overimplementere EU-lovgivningen. Men det er dyrt at være klassens duks, så vi skal hjælpe virksomhederne med at finde den rette balance, så der kommer styr på it-sikkerheden og leves op til reglerne, uden at virksomhederne mister overblikket og investerer store beløb i unødige tiltag.
Jacob Herbst, CTO i Dubex A/S
vi en situation, hvor virksomhederne ikke har mulighed for at afsætte midlerne og ressourcerne i tide,” udtaler Natasha Friis Saxberg.
Øgede krav til virksomhederne og ledelsen
Som noget nyt stiller NIS2 skrappe krav til både ledelsen, virksomhedens risikostyring og rapportering.
”Ledelsen får nu direkte ansvar for, at cyberrisikoen bliver identificeret og håndteret samt, at NIS2-kravene overholdes. Sker det ikke, kan myndighederne faktisk forbyde de ansvarlige chefer at have en ledelsesfunktion. Så de nye krav kan pludselig også have store personlige konsekvenser,” fortæller Jacob Herbst, CTO i Dubex A/S og medlem af det nationale Cybersikkerhedsråd samt forperson i IT-Branchens policy board for cybersikkerhed.
En stor del af kravene handler om at kunne forebygge og minimere cyberangreb – ikke bare hos en selv, men også i forhold til hele ens værdikæde. Det er især inden for disse områder, Jacob Herbst forventer, at virksomhederne skal investere og fokusere:
• Uddannelse af ledelsen
• Risikoanalyser med både forebyggende og begrænsende tiltag
• Sikkerhedspolitikker og procedurer
• Cyberhygiejne og adgangskontrol
• Forsyningskædesikkerhed for leverandører
• Håndtering af sikkerhedshændelser og rapportering indenfor 24 timer
• Beredskabsplaner og krisehåndtering
Jacob Herbst påpeger samtidig, at det er vigtigt at få lavet en national implementeringsplan og få hjulpet virksomhederne, så vi i Danmark undgår den forvirring og panik, der opstod, da Persondataforordningen blev indført.
”Danske myndigheder og virksomheder har en tendens til at overimplementere EU-lovgivningen. Men det er dyrt at være klassens duks, så vi skal hjælpe virksomhederne med at finde den rette balance, så der kommer styr på it-sikkerheden og leves op til reglerne, uden at virksomhederne mister overblikket og investerer store beløb i unødige tiltag,” slutter han. Samtidig påpeger han, at det reelt kan blive et problem at finde folk med de rette kompetencer til at løfte opgaven i de enkelte virksomheder.
Fakta
IT-Branchen er sammen med Danmarks Statistik kommet frem til de 1.400 berørte virksomheder ved at kigge på de branchebetegnelser, som EU har skrevet, er omfattet NIS2, hvorefter disse er overført til danske branchekoder. Da virksomheder med under 50 medarbejdere som udgangspunkt ikke er omfattet NIS2-kravene, er de efterfølgende blevet fjernet.
Det er dog de sektorspecifikke myndigheder, der tager endelig stilling til, hvilke virksomheder der skal omfattes af NIS2, og der kan derfor være forskel på den endelige liste af virksomheder og ovenstående tal, der er pt bedste bud på en kortlægning.
Industriens Fond er i gang med en mere detaljeret analyse af omfanget og paratheden hos de berørte virksomheder. Den analyse forventes at være klar i starten af det nye år.
Læs mere på www.itb.dk
