It-sikkerhed skal styrke forretningen og må ikke blot blive en papirøvelse, der kun sikrer, at direktiver som GDPR og NIS2 bliver overholdt. Hvis it-sikkerhed skal gøre en forskel for virksomhederne, er det helt centralt, at det strategiske og operationelle niveau hænger sammen, at it-sikkerhed bliver anskuet holistisk, og at der er klare kommunikationslinjer mellem topledelsen og maskinrummet.
Danske virksomheder og organisationer er i skudlinjen, når det kommer til cyberangreb. Tal fra PwC Cybercrime Survey 2022 viser, at mere end seks ud af ti erhvervsledere og it-fagfolk er mere bekymrede for angreb i dag end for blot et år siden. En af hovedårsagerne til bekymringerne er Danmarks engagement i krigen i Ukraine, der blandt andet har udløst en stribe af DDoS-angreb, de såkaldte belastningsangreb, hvor hjemmesider eller mobiladgang til banken går ned, fordi it-kriminelle bevidst overbelaster siden. I kølvandet på de mange angreb og for at beskytte data har EU lanceret direktiver som GDPR, og i 2024 venter NIS2, der kommer med skærpede krav til virksomhedernes it-sikkerhed. ”Cybersikkerheden er truet, og det er naturligvis vigtigt, at virksomhederne lever op til direktiverne. Når det er sagt, vil vi gerne understrege vigtigheden af, at virksomhederne beskæftiger sig med it-sikkerheden, fordi de ønsker at sikre produktionen og beskytte data. It-sikkerhed er vigtig, fordi der er en trussel mod virksomheden, og ikke fordi der kommer et direktiv,” siger
Thomas Wong, Director for Technical Cyber Risk Advisory hos
Improsec og uddyber: ”Jeg har fx heller ikke en airbag i min bil, fordi loven dikterer det, men fordi airbaggen kan redde mig i et uheld. På samme måde skal en virksomhed, der eksempelvis producerer stål, have it-sikkerheden på plads for at sikre, at produktionen ikke bliver truet eller går i stå”.
Virksomhederne skal se indad
Sikkerhed er blevet mere kompleks i dag. Der er mange aspekter af sikkerhed, som en virksomhed skal tage højde for. Dette kan være en udfordring for virksomheder, der ikke har tilstrækkelige ressourcer eller ekspertise til at forstå og forholde sig til disse trusler og risici.
Hos Improsec, der er specialister i at udføre operationelle it-sikkerhedstests og sikkerhedsrådgivning, ser de en risiko ved, at it-sikkerheden hos virksomhederne bliver en papiropgave, der reelt ikke styrker virksomhederne.
”Med GDPR er it-sikkerhed for alvor rykket ind på ledelsesgangene, og det er fint. Desværre ser vi en tendens til, at kommunikationen mellem topledelsen og maskinrummet ikke fungerer optimalt,” siger Thomas Wong:
”Compliance og kontrol er godt, men tekniske test og afprøvning er et vilkår og en nødvendighed for effektiv håndtering af risiko. Det kræver, at ledelsen forstår det tekniske bag sikkerheden, og CISO’erne forstår strategien fra ledelsen.”
Forstå teknikken bag sikkerheden
Ifølge Improsec kræver det, at virksomhederne sætter sig ind i teknikken i maskinrummet og styrker kommunikationen, så der ikke opstår et vakuum, hvor ledelsen nikker til en stribe af tekniske rapporter med grønne flueben fra maskinrummet, uden teknikken er kendt.
”Hvis virksomhederne faktisk havde et indblik i det operationelle - altså teknikken, ville de forskellige EU-direktiver slet ikke slå så hårdt, fordi indsigten vil understøtte, at der er styr på sikkerheden,” forklarer Thomas Wong.
Hos Improsec har de netop specialiseret sig i at hjælpe virksomhederne med at forstå teknikken bag samt at bidrage med overvågningen, så de sikkerhedsansvarlige får de rigtige redskaber, så de kan kommunikere klart til ledelsen.
”Virksomhederne er nødt til at anlægge en holistisk tilgang til it-sikkerheden, fordi de it-kriminelle altid vil lede efter en åben dør, indtil de finder en. Det nytter ikke noget, hvis tilgangen til it-sikkerheden bliver for løs og sporadisk, for så finder de it-kriminelle hurtigt den dør, de kan komme ind gennem,” for-
klarer Improsecs Administrerende Direktør, Martin Kofoed. Et eksempel kan være, at virksomheder benytter sig af multifaktor-godkendelser, når medarbejderne logger ind på et system. Men har virksomheden samme sikre tilgang, når et nyt system eller en applikation gøres tilgængelig for kunderne? Hvis der ikke er en sammenhæng, bliver it-sikkerheden skrøbelig, fordi kæden aldrig er stærkere end det svageste led.
De nye angreb er gamle kendinge
”Typen af angreb, vi ser for tiden, er ikke nye. Men med Rasmus Paludans koranafbrændinger og Danmarks engagement i krigen i Ukraine oplever vi nu, at angrebene ikke længere kun er møntet på at få politisk opmærksomhed, men på at ødelægge den teknologiske infrastruktur,” siger Martin Kofoed og uddyber: ”Pointen er, at havde virksomhederne kendt teknologien og allerede beskyttet sig mod DDoS-angreb, da vi så dem de første gange for år tilbage, havde vi ikke problemerne med dem nu. Den gang var de ikke top of mind, men det burde have været håndteret for længe siden.”
Trusselskatalog kunne hjælpe virksomhederne Hos Improsec efterlyser de mere åbenhed virksomhederne imellem. Og så efterlyser it-sikkerhedseksperterne, at myndighederne fx udarbejder et trusselskatalog, så virksomhederne kan se, hvilke konkrete sikkerhedstrusler de skal forholde sig til. Det vil være mere motiverende og konstruktivt end at true med EU-direktiver som GDPR og NIS2, der kan udløse høje bødestraffe, retten til at drive virksomhed osv. Et rammeværk, der faktisk beskriver truslerne, vil gøre det lettere for virksomhederne at skabe en holistisk tilgang til it-sikkerhed med klar kommunikation mellem det strategiske og operationelle plan i virksomheden.
Vi er Improsec. Vores firmanavn er en sammentrækning af det, vi gør; vi forbedrer sikkerheden. Som en uvildig og uafhængig rådgiver indenfor Cybersikkerhed tager vi aktivt ansvar for at forbedre sikkerheden hos både private virksomheder, organisationer og offentlige institutioner. Vi sælger ikke hardware, software eller managed services. Vi leverer viden, erfaring samt strategisk og dyb teknisk ekspertise på specialistniveau. Vigtigst af alt, arbejder vi for en mere SIKKER og BEDRE fremtid sammen med vores kunder.
Læs mere på www.improsec.com
Af Pia Bundgaard Hansen Thomas Wong, Director for Technical Cyber Risk Advisory hos Improsec .Vi ser desværre, at rigtig mange virksomheder ikke tager stilling til it-sikkerheden, men i stedet prøver lidt i blinde at købe sig til en nem løsning. Men sådan en løsning findes ikke.
Johnni Meldgård Rude, Security Director, IT RelationHackerne angriber altid det svageste punkt hos en virksomhed. Men virksomhederne har hjemmebanefordelen. Det er helt gratis at udnytte, derfor skal virksomhederne se indad, før de begynder at investere i it-sikkerhed og sikkerhedsløsninger, der alligevel ikke dækker behovet.
Virksomhederne udvikler sig hele tiden - og det gør de it-systemer, der støtter dem også. De konstante forandringer kan gøre virksomhederne sårbare overfor cyberkriminelle, for ændringer åbner huller og eksponerer nye sårbarheder. Når kravene til kerneforretningen flytter sig, skal it-leverancerne og sikkerheden følge med. Og det forudsætter, at virksomhederne kender sig selv.
”Hackerne vil altid gå efter det svageste led i virksomhedernes sikkerhed. Men de angriber din hjemmebane, og hvis du har gjort dit hjemmearbejde, så ved du også, hvor du er sårbar. Og den vidensfordel skal du sørge for at udnytte,” siger Johnni Meldgård Rude, Security Director, IT Relation, der hjælper virksomhederne med it-løsninger, som matcher behovene.
Johnni Meldgård Rude uddyber:
”Vi ser desværre, at rigtig mange virksomheder ikke tager stilling til it-sikkerhed, men i stedet prøver lidt i blinde at købe sig til en nem løsning. Men der er ikke én løsning eller service, der klarer alle sikkerhedsproblemerne. Alt arbejde med sikkerhed begynder med at vide, hvor det gør mest ondt på forretningen at miste kontrollen. Så kommer beskyttelsen lige bagefter.”
Få orden i penalhuset
Virksomheden kender sit eget systemlandskab bedre end hackerne. Men hvis systemerne ikke er risikovurderede og beskyttet derefter, så udnytter de ikke fordelen. Og virksomhederne forpasser chancen for at investere klogt i beskyttelse.
”For rigtig mange virksomheder gælder det, at den største sikkerhedsopgradering, de kan lave, er at få orden på det digitale penalhus. Sæt drift og opdateringer af virksomhedens platforme i system og få dem proces-understøttet, så det ikke er over-
ladt til tilfældigheder, der kan føre til, at hullerne opstår. Så du skal risikovurdere systemerne i forhold til forretningen, og så kan du begynde at kigge på it-sikkerhedstiltag, som er effektive og relevante,” siger Johnni Meldgård Rude.
EU-direktiver som GDPR og NIS2 er også med til at højne virksomhedernes fokus på at leve op til sikkerhedskrav, og det samme er stigende krav fra partnere og kunder. Fælles for hele indsatsen er, at den skal sættes i system, genbesøges og understøttes af et kontinuerligt arbejde.
Bliv bevidst om modenheden
Rejsen mod bedre sikkerhed begynder ifølge IT Relation med en kombination af mennesker, teknologi og processer. Og nogle af de mest værdifulde sikkerhedstiltag er gratis øvelser - udover den tid de interne medarbejdere skal bruge.
”Ledelsen skal have overblik. Det er helt afgørende. Og så handler det om at se på og at få dokumenteret, hvilke systemer og aktiver, der er kritiske for, at man kan drive forretningen. Man skal se på, om systemer indeholder persondata, og om de måske er eksponeret imod internettet. Og den rette beskyttelse og risikovurdering kræver, at man har den rette indsigt i virksomheden og ved, hvor sårbarhederne er. Virksomhederne kender sig selv bedst, og derfor skal de selv involvere sig og udnytte hjemmebanefordelen,” forklarer Johnni Meldgård Rude. Indsigten kan være med til at understøtte sikkerhedstiltag som 2-faktor-validering, hvis systemet er eksponeret imod internettet, og hvis det er et forretningskritisk system, skal det være en del af beredskabsplanen.
Stærk sikkerhed kræver stærke rutiner Et andet vigtigt princip, som ofte bliver negligeret af virksomheder, er de rutinemæssige opgaver.
”Sikkerhed er ikke noget, der bare kan ligge i it-afdelingen og passe sig selv. Som alt andet sander sikkerhed til. Det er vigtigt, at sikkerheden bliver gennemgået jævnligt med fokus på allerede eksisterende services og systemer, så virksomhedens sikkerhed ikke bliver kompromitteret baseret på manglende vedligehold,” forklarer Johnni Meldgård Rude. Cybersikkerhedstrusler og -angreb udvikler sig konstant, så det er helt centralt regelmæssigt at vurdere og opdatere sikkerhedsforanstaltningerne for at være på forkant med potentielle risici. Udnyt hjemmebanefordelene og begynd rejsen mod en styrket it-sikkerhed på www.itrelation.dk. Her kan I tage pulsen på jeres virksomheds it-sikkerhed og få råd til jeres sikkerhedsrejse.
I mere end 20 år har IT Relations 750 specialister hjulpet virksomheder og organisationer med at understøtte forretningsmål med it-løsninger.
Læs mere på www.itrelation.dk
Af Pia Bundgaard HansenDanmark har et af de mest digitaliserede erhvervsliv i Europa. Det er til gavn for os alle. Digitaliserede virksomheder er nemlig de mest produktive og konkurrencedygtige. Men den styrke vil blive vendt imod os, hvis vi ikke i samarbejde mellem det offentlige og private gør endnu mere for at beskytte de danske virksomheder.
Af digitaliseringsminister Marie Bjerre (V)
Som digitaliseringsminister holder jeg et skarpt øje med alt det, der truer vores digitale systemer. Og trusler er der desværre rigeligt af. Der er både fjendtlige og kriminelle kræfter, som hver dag forsøger at udnytte vores svagheder. Især de cyberkriminelle truer de danske virksomheder. Når vi holder det op imod sikkerhedsniveauet i de danske SMV’er, hvor 44 pct. har et for lavt sikkerhedsniveau i forhold til deres risikoprofil, er det potentielt en meget alvorlig situation.
Det kan virke lidt abstrakt. Men det bliver meget hurtigt helt konkret for den lille virksomhed, der mister adgangen til sine kunde- og leverandørinformationer, eller hvor et cyberangreb sætter produktionen i stå. I det tilfælde står man med ansatte, der ikke kan arbejde, kunder der ikke får deres produkter eller et lager, man ikke længere har overblik over. Når den lille virksomhedsejer vågner op til den hverdag, er det ikke længere abstrakt, og i værste fald kan et cyberangreb gøre, at virksomheder må dreje nøglen om. De færreste virksomheder kan klare sig uden adgang til deres digitale systemer, fordi de har brugt selvsamme systemer til at blive bedre virksomheder. Det er derfor vigtigt for mig, at vi gør endnu mere for at hjælpe med at styrke sikkerheden i de danske SMV’er. Og som ny digitaliseringsminister ser jeg det som en af mine vigtigste opgaver.
En
Der findes ikke én enkelt løsning på cybertruslen. Men jeg mener, at vi bl.a. skal fokusere mere på at styrke kompetencernebåde blandt medarbejdere og specialister. Derudover skal vi øge bevidstheden om cybertruslen, samtidig med at vi tydeliggør fordelene ved at have styr på sin sikkerhed - eksempelvis ved at D-mærket bliver udbredt. Vi skal samarbejde endnu mere på tværs af det offentlige og private. Og vi skal vejlede endnu bedre og understøtte, at virksomhederne har den viden og de redskaber, de skal bruge for at forbedre sikkerheden. Her har vi allerede udmøntet tæt på 50 mio. kr. gennem SMV:Digital, som er gået direkte til at forbedre den digitale sikkerhed i SMV’er. Som del af en styrket vejledningsindsats åbnede vi 1. marts en ny cyberhotline, som hjælper borgere og virksomheder med at få styr på den digitale sikkerhed. Når man ringer til denne cyberhotline, kan virksomheder f.eks. få vejledning i, hvordan de ruster sig mod digitale trusler som for eksempel ransomware, faktura-bedrag og phishing. Og så kan de få hjælp og vejledning, hvis de står i den svære situation at være udsat for et cyberangreb. Cyberhotlinen skal ses i forlængelse af vores i forvejen omfattende vejledningsindsats på sikkerdigital.dk. Og jeg ser hotlinen som et godt redskab til at hjælpe endnu flere virksomheder og borgere med deres digitale sikkerhed.
Vi kommer også til at regulere de mest kritiske dele af vores digitale systemer. Vi er ved at forhandle Cyber Resilience Act på plads sammen med de øvrige medlemslande i EU, ligesom
Ansvarshavende redaktør Henning Andersen, henning@partnermedier.dk
Projektleder Emma Nordahl Jepsen, emma@partnermedier.dk
Journalister Pia Bundgaard Hansen, Henrik Malmgreen
Grafisk produktion Majbritt Høger, majbritt@partnermedier.dk
Forsidefoto Fotograf Anni Norddahl, ophavsret Digitaliserings- og Ligestillingsministeriet
Udgiver
Distribueret i samarbejde med Berlingske Media
Medlem af
Hold dig opdateret, følg din branche her www.businessreview.dk
K ære Læser
NIS2-direktivet snart skal implementeres i dansk lov. De nye regler vil gøre Danmark og danske virksomheder mere sikre. Opgaven vil være forskellig på tværs af virksomhederne og sværere for nogle virksomheder end andre, da vi har meget stor variation i vores erhvervsliv. Både når vi implementerer reglerne, og når vi vejleder virksomhederne, er det derfor vigtigt, at vi har blik for virksomhedernes forskelligheder. En god implementering og en god vejledning af reglerne, vil kunne begrænse byrderne og samtidig øge sikkerheden i dansk erhvervsliv.
Sammen om løsningerne
Som nævnt anser jeg understøttelse af styrket cybersikkerhed i dansk erhvervsliv som en af mine vigtigste opgaver. Den opgave skal løses i tæt samarbejde med erhvervslivet, der har hovedrollen her. Vi har brug for at samarbejde med vores partnere i det private - for det er ude blandt virksomhederne, at dagligdagens cyberforsvar skal stå sin prøve. Af den grund har vi en fælles Cybersikkerhedspagt, hvor både mit ministerium, Center for Cybersikkerhed og lang række private organisationer har forpligtet sig på en række fælles målsætninger. Herunder at skabe nye samarbejder på tværs.
Det er den slags samarbejde, som er nødvendigt, hvis vi skal løse de enorme udfordringer, vi står overfor på cybersikkerhedsområdet. Det er ikke udfordringer, nogen af os kan løse alene. Og hvis ikke vi formår at løse dem, bliver vores digitale styrke til vores svaghed.
Indholdet i denne udgivelse er bl.a. blevet til i samarbejde med vores mange sponsorer og annoncører.
Vores tekstforfattere og journalister har gjort sig umage med at finde og skrive indhold til dig, som vi håber vil give dig god information o g inspiration. God læselyst!
forbehold for evt. trykfejl og farveafvigelser.
Med det nye NIS2 direktiv fra EU løftes it-sikkerhed op på et helt nyt niveau. Det kommer til at stille en række nye krav til virksomhederne, der skal være klar til at kunne efterleve dem om blot halvandet år.
Af Henrik MalmgreenIløbet af efteråret 2024 træder det nye NIS2-direktiv i kraft. Et direktiv, der skal være med til at sætte et nyt og højere niveau for fælles datasikkerhed på tværs af EU. Det nye direktiv regulerer virksomheder og myndigheder på cyber- samt informationssikkerhedsområdet og kommer til at omfatte en række sektorer, der ikke tidligere har været omfattet af regulering. Blandt andre sektorer inden for fødevarer, spildevand og affald samt udvalgte sektorer i fremstillingsindustrien.
”Selv om der er halvandet år til, er det imidlertid ikke for tidligt at komme i gang. At blive compliant med det nye direktiv bliver man nemlig ikke sådan lige fra den ene dag til den anden”. Det siger Senior Security Advisor Mette Nikander fra it-sikkerhedsselskabet Nixu, og Market Unit Lead Henrik Engqvist er helt enig i den betragtning. Han er glad for det nye direktiv, og selv om der sikkert er nogle virksomheder, der synes det vil gøre dagligdagen mere besværlig, ser han modsat på det som en mulighed for at sikre virksomhedernes forretning.
Positivt afkast
”Min opfordring til virksomhederne er at se NIS2 direktivet, der kommer til at omfatte langt flere typer af virksomheder end det nuværende NIS1 direktiv, som en forretnings enabler. Ideen med direktivet er nemlig, at det skal øge sikkerheden på tværs af virksomhedernes værdi- og leverandørkæde. Man kan som leverandør risikere at blive bortdømt, hvis ens kunde forventer, man er NIS2 compliant, men man ikke er det”, siger
Henrik Engqvist. Både han og Mette Nikander gør opmærksom på, at det givet er noget, man ikke altid er opmærksom på ned gennem leverandørkæden. Det bliver imidlertid en nødvendighed, fordi der med NIS2 virkelig sættes fokus på it-sikkerhed fra EU’s side. Ud over risikoen for at kunne blive bortdømt som leverandør, er der nemlig også en risiko for økonomiske sanktioner, hvis man som virksomhed ikke lever op til direktivet.
Hele organisationen skal med ”Man taler ikke så meget om det, men der er givet virksomheder, der tager manglende it-sikkerhed som en kalkuleret risiko i håbet om ikke at opleve sikkerhedsbrister, men det er altså slut nu. Enten er man compliant, eller også er man ikke”, siger Mette Nikander videre. Både hun og Henrik Engqvist føjer til, at NIS2 ikke blot handler om it-sikkerhed set ud fra et teknologisk synspunkt, men også fra et organisatorisk synspunkt.
”Alle skal kende deres rolle i virksomheden og forstå, hvor vigtigt det er, at it-sikkerhed også handler om medarbejdermæssig adfærd og parathed. Det at agere klogt og velovervejet skal være en del af virksomhedens DNA.
Det er lige så vigtigt for os at rådgive vores kunder om, når vi leverer løsninger til dem”, uddyber Henrik
Engqvist. Han siger videre, at man hos Nixu oplever, at virksomhederne allerede har hørt om NIS2 og derfor kan mærke øget interesse for deres sikkerhed.
En investering i tryghed
”Danmark er et af de mest digitaliserede samfund i verden. Derfor står vi også forrest på øretævernes holdeplads, når det gælder risikoen for sikkerhedsbrister. Uanset om det er personfølsomme data, kundedata eller andre former for forretningskritiske data, kan et angreb blive katastrofalt og i sidste ende måske koste virksomhedens eksistens”, forklarer Henrik Engqvist og understreger vigtigheden af at blive NIS2 compliant hurtigst muligt.
Mette Nikander føjer til, at det handler om ikke at se det nye EU-direktiv som et benspænd, men snarere som et konkurrenceparameter. Det gælder for virksomheden om at se opgradering af sikkerheden som en investering mod kompromittering, tab eller tyveri af data. Samtidig skal virksomheden være klar over, at der ikke er tale om en engangsforeteelse. Det at have styr på sikkerheden er en løbende proces, der i princippet aldrig slutter.
Hvad er NIS2 NIS2-direktivet er en modernisering af NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen. NIS2 omfatter organisationer i sektorer, der håndterer vigtig og/eller samfundskritik infrastruktur, herunder blandt andet inden for energi, transport, sundhed, drikkevand, spildevand, fødevareforsyning, affaldshåndtering og offentlig administration, men kan også være relevant for underleverandører til disse.
(Kilde: Kammeradvokaten)
5 gode råd til it-sikkerhed fra Nixu Mange teknologiproducenter råder virksomhederne til at have en ”zero trust” politik, når det gælder it-sikkerhed. Det støtter godt op om de nye krav til it-sikkerhed i NIS2, og 5 gode råd fra Nixu til. Forbedret it-sikkerhed er:
• Kend til hvad der skal beskyttes.
• Forstå de sikkerhedskontroller, der allerede er etableret.
• Inkorporer nye værktøjer og moderne arkitektur.
• Vedtag og følg detaljerede policies.
• Monitorér og alarmér.
Se mere her: www.nixu.com/dk
Krigen i Ukraine har skabt et fornyet trusselsbillede i Vesten, hvilket har øget cyberkriminaliteten mod danske virksomheder markant. Mange virksomheder er ikke forberedte, men det behøver ikke være ressourcekrævende, at vælge løsninger der beskytter virksomheden og samtidig lever op til europæiske lovkrav som GDPR og den kommende NIS2.
Af Pia Bundgaard HansenTal fra PwC’s Cybercrime Survey 2022 viser, at mere end seks ud af ti erhvervsledere og it-fagfolk er mere bekymrede for cyberangreb i dag end for blot et år siden. Hos TEHTRIS, som er en fransk it-sikkerheds- og softwarevirksomhed, der er specialiserede i at hjælpe virksomhederne med at undgå cyberspionage og -sabotage, genkender de udfordringerne.
”Vi har set en tydelig vækst i den politisk motiverede it-kriminalitet, som er en stigende trussel. It-kriminaliteten handler nu ikke længere om at lave et opråb, men om at ødelægge vital infrastruktur og få et udbytte, hvilket er en farlig cocktail for virksomhederne,” fortæller Torben Clemmensen, Head of Nordic Presales, TEHTRIS fra det netop nyåbnede kontor i Danmark, der skal hjælpe virksomheder i hele Norden med it-sikkerheden.
Danmarks synlige rolle og engagement i politiske brænd-
TEHTRIS har i mere end 12 år stået bag TEHTRIS XDR Platform, der beskytter virksomheder og organisationer - realtime – mod hackerangreb. Platformen er 100% udviklet og hostet i Europa. Lige fra EDR til SOAR tilbyder TEHTRIS et komplet arsenal af cybersikkerhedsløsninger, der er ISO 27001 certificeret og lever op til europæiske standarder som GDPR og den kommende NIS2.
Læs mere på www.tehtris.com/en/
punkter i verden, som eksempelvis krigen i Ukraine tiltrækker uønsket it-kriminalitet. Angreb mod lufthavne, butikker og banker er blevet hverdag. Tal fra TEHTRIS viser, at på blot 11 dage i de første måneder af 2023, har der været 46 politisk motiverede hackerangreb mod Danmark og Sverige, hvoraf 80% ramte Danmark.
Den dårlige nyhed for de danske virksomheder og organisationer er, at it-kriminaliteten bliver mere kompleks, samt der kommer flere regelsæt fra EU, som skal overholdes. Den gode nyhed er, at det faktisk er muligt at beskytte sig mod de ubudne gæster og være på forkant med lovgivningen.
Vælg en europæisk partner
De danske virksomheder kender efterhånden GDPR lovgivningen, som EU præsenterede for få år siden. I sommeren 2024 kommer NIS2-direktivet, som omfatter langt flere brancher end NIS. I NIS2 skærpes ledelsens ansvar for at få forankret en grundig forståelse af informationssikkerhed og sikkerhedsrisici ned igennem alle virksomhedens lag.
”De regelsæt, som de danske virksomheder skal overholde, udspringer af europæisk lovgivning. Derfor giver det god mening, at virksomhederne samarbejder med it-sikkerhedsudbydere, der netop tager udgangspunkt i det europæiske regelsæt og tilmed sikrer, at data bliver indenfor Europas grænser,” siger Torben Clemmensen og uddyber: ”Vi er en europæisk udbyder, der leverer løsninger, som lever op til alle de gældende EU-regler. Vores løsninger er allerede klar til NIS2, som træder i kraft i 2024. Kendskabet til de europæiske regler sikrer, at vores kunder aldrig kommer på bagkant, men er klar, når ny lovgivning rulles ud. Desuden ved vores kunder, at deres data altid er indenfor Europas grænser, hvor lovgivningen beskytter dem.”
Tag det sikre valg Hos TEHTRIS vil de gerne slå et slag for, at it-sikkerhed ikke behøver at være en uoverskuelig opgave, som kræver et hav af ressourcer. TEHTRIS XDR Platform sikrer derfor virksomhederne et 360 graders overblik over hele sikkerhedsinfrastrukturen. Platformen benyttes i dag af store, internationale virksomheder og offentlige organisationer og tilpasses til den enkelte virksomheds behov og udfordringer.
Med 24/7-support, ISO27001-certificering og med et ”cybersecurity Made in Europe”-mærkat, beskytter løsningen danske og nordiske virksomheder mod 0-day sårbarheder og cyberspionage og særlig virksomhedens brug af ”honeypots” – software til at opsnappe it-kriminelles adfærd – til at kunne forudse hackernes metoder. Den type cybersikkerhedstrusselsinformation (CTI) er afgørende for sikkerheden i en moderne virksomhed.
Vi er en europæisk udbyder, der leverer løsninger, som lever op til alle de gældende EU-regler. Vores løsninger er allerede klar til NIS2, som træder i kraft i 2024.
TEHTRIS forstår også, hvor strategisk cybersikkerhedsvalget er for it-ledere eller administrerende direktører. Vedtagelse af en XDR-platform, der ikke krævede at gå all-in på en enkelt leverandør; men en, der faktisk udvider deres detektions- og responskapacitet ved at forbedre de værktøjer, de allerede har, og beskytter de investeringer, de allerede har foretaget; Dette er nøglen, som vi kan give dem.
”Virksomhederne er nødt til aktivt at tage stilling til it-sikkerhed og væbne sig bedre, fordi hackerne hele tiden repræsenterer en ny form for terrorisme. Det handler om at have en klar strategi på området og sikre, at dørene kun kan åbnes indefra,” fortæller Torben Clemmensen.
Torben Clemmensen, Head of Nordic Presales, TEHTRISFor ganske få år siden var det en dyr fornøjelse for virksomhederne at få de rigtige og mest effektive IT- og cybersikkerhedsløsninger, sådan er det ikke længere. Hos CyberNordic har de specialiseret sig i at skære IT-sikkerhed ind til benet, så løsningerne er enkle, effektive og økonomisk fordelagtige for virksomhederne. CyberNordic har udarbejdet en enkel sikkerhedstest, der er gratis for virksomhederne, så de kan teste virksomhedens sikkerhedsniveau.
Få en gratis test af virksomhedens IT-sikkerhed her.
Cyberangreb på virksomheder er blevet hverdag. For eksempel steg antallet af uønskede e-mails - phishing - med 41% fra 2021 til 2022. EU-sikkerhedsdirektiver som GDPR, DORA og den kommende NIS2 skærper yderligere kravene til virksomhedernes IT- og cybersikkerhed, det er helt centralt, at kunder og samarbejdspartnere kan stole på, at driften er stabil, data og information er beskyttet og sikret.
Udfordringen for mange virksomheder - især de små og mellemstore – er at finde vej til de IT-sikkerhedsløsninger, der er til at betale og samtidig yder den ønskede sikkerhed for virksomhederne. Tal fra Erhvervsstyrelsen viser, at 40 procent af de små og mellemstore virksomheder har for lav digital sikkerhed.
”Vi vil gerne være med til at hæve barren for IT-sikkerhed hos virksomhederne - store som små – uden det behøver at være besværligt eller at koste en formue,” siger John Talchow, direktør og stifter, CyberNordic, og han uddyber:
”Faktisk er det let at finde en stribe gratis værktøjer på nettet; Hackerstop og de syv sikkerhedsanbefalinger er gode eksempler på gratis værktøjer til mindre virksomheder. Så i stedet for at virksomhederne går ud og outsourcer, køber dyre konsulenttimer og et hav af licenser, bør de i stedet investere i den basale IT-sikkerhed, de har behov for. For virksomhederne handler det i første omgang om at kigge indad på egne risici og behov og få fundamentet på plads.”
IT-sikkerhed som konkurrenceparameter
IT-sikkerhed skal være enkelt og til at forstå for virksomhe-
derne. Det mantra var netop en af hjørnestenene, da John Talchow og Morten Holm Gregersen begge med mange års erfaring i IT-branchen - i både ind- og udland - etablerede CyberNordic i 2020.
”Virksomhederne kan vende det til deres fordel og et konkurrenceparameter at have styr på sikkerheden. IT-sikkerhed skal jo først og fremmest beskytte kerneforretningen, men det handler også om, at virksomhederne kan vise og dokumentere, at de har orden i butikken. For mange virksomheder kan det dog være svært og uoverskueligt at komme i gang. Det vil vi gerne gøre op med og levere gennemskuelige løsninger,” forklarer Morten Holm Gregersen, direktør og stifter, CyberNordic.
Kom godt i gang
Det behøver ikke at være svært at komme i gang med IT-sikkerheden. Hos CyberNordic har de blandt andet udviklet en gratis sikkerhedstest, der primært er målrettet mod de små og mellemstore virksomheder.
Testen, der er helt gratis og findes på www.cybernordic.dk tager ca. 15 min. at besvare og består af 14 spørgsmål. Virksomhederne modtager herefter en rapport med en sikkerhedsscore og anbefalinger til forbedringer.
”IT-sikkerhed handler om at skære ind til benet og slippe for det overflødige fedt. Vi ved af erfaring, at SMV’er ikke behøver samme omfang af it-løsninger som de store virksomheder,” forklarer John Talchow og uddyber:
”Løsningerne består af det helt essentielle, hvor vi overvåger virksomhedernes computere og servere og giver besked, hvis der er noget, som skal gøres; samt hvad der skal gøres.
Vi holder ikke blot øje med, om alarmen går, men ser også hvad der faktisk sker og holder øje med, om der skulle være cyberkriminelle, som har øje på virksomheden. På den måde kan vi sammen forebygge angrebene, hvilket er billigere end at behandle, når først skaden er sket.”
Så begynd sikkerhedsrejsen, og tag testen på www.cybernordic.dk
CyberNordic arbejder for at gøre IT- og cybersikkerhed forståeligt og tilgængeligt for alle virksomheder - uanset størrelse. Vi løfter virksomhedernes og deres medarbejderes bevidsthed om og fokus på IT- og cybersikkerhed.
Af Pia Bundgaard HansenNy kortlægning fra Industriens Fond om NIS2-direktivets betydning for erhvervslivet viser, at der venter omfattede virksomheder store regelkrav.
Dansk Erhverv opfordrer derfor myndighederne til hurtigt at komme på banen, så virksomhederne rustes bedst muligt til overgangen til de nye regler.
Industriens Fond har netop offentliggjort en ny kortlægning, der viser, at 1.079 virksomheder skal leve op til en nye krav om informationssikkerhed, som er på vej fra EU i det såkaldte NIS2-direktiv. Kravene skal sikre, at virksomheder, som er en del af kritisk infrastruktur, er bedre rustede til at modstå cybertrusler.
”Der er et kæmpestort behov for at gøre vore samfund mere robust overfor cybertrusler. Den nye kortlægning fra Industriens Fond, som vi i Dansk Erhverv har bidraget til, viser, at det er virkelig vigtigt, at vi får de danske myndigheder hurtigt på banen og samtidig har god dialog med dem og erhvervslivet, så vi undgår, at virksomheder, der har aktiviteter i flere sektorer, skal forholde sig til flere forskellige lovtekster. I det hele taget er det vigtigt, at vi hjælper virksomhederne og sikrer en implementering, der er effektiv og overkommelig. I det første NIS-direktiv var 15 virksomheder omfattet, så det er en kæmpe stigning i antallet,” siger vicedirektør i Dansk Erhverv Casper Klynge.
Nye brancher bliver omfattet
Nogle af de virksomheder, som skal leve op til kravene i NIS2
er allerede omfattet af det første NIS-direktiv, der blev implementeret i Danmark i 2018, men med opdateringen omfattes en række nye sektorer. Dermed bliver de opdaterede krav en omfattende mundfuld for mange danske virksomheder. ”Blandt vores medlemmer er der flere brancher, som skal leve op til de nye krav. Det gælder blandt andet fødevare- og detailbranchen, og det gælder virksomhederne, der leverer Danmarks digitale infrastruktur. Derfor tager vi blandt andet fat på en dialog med teleselskaberne og de danske myndigheder om, hvordan vi kommer i mål med en god implementering af de nye regler her, og vi afholder informationsmøder målrettet forskellige brancher i samarbejde med nogle af landets førende eksperter, og det kan særligt være vigtigt med råd og vejledning til de 36 pct. små virksomheder, der omfattes af det nye direktiv,” siger Casper Klynge.
Behov for hurtig myndighedsindsats
Der fortsat nogle usikkerheder om, hvordan de konkrete regler kommer til at se ud i Danmark. Det er også i sidste ende de ansvarlige myndigheder, der skal udarbejde lister med de
virksomheder i Danmark, der underlægges de nye regler. ”Vi vil meget gerne have de danske myndigheder på banen så hurtigt som muligt. Vi rådgiver en lang række virksomheder lige fra fondsmæglere til boligselskaber, som ringer for at få vores vurdering af, om de bliver omfattet af de her regler.
Vi har heldigvis ofte mulighed for at hjælpe dem videre, men i sidste ende kan vi ikke sige noget definitivt. Derfor opfordrer vi de danske myndigheder til at få startet den officielle kortlægning hurtigst muligt, så virksomhederne kan få klar besked på, om de er omfattet,” siger Casper Klynge.
Kontakt os i dag!
Undervisning 5 dage om
ugen
Microsoft 365 & Windows Server 2019 inkl. Cloud & IT-sikkerhed
GDPR – ISO 27001 inkl.
Persondataforordningen
Løn & Personalejura inkl. HR, Lønsystemer & MS Office
Python ProgrammeringFra Grundlæggende til Avanceret
Mange flere kurser kan findes på vores hjemmeside www.itucation.dk
Find os på Svanevej 22, 2400 Kbh NV
4,9 stjerner på Trustpilot
Snart går de politiske forhandlinger i gang omkring et nyt forsvarsforlig, der bl.a. indebærer et markant øget budget. Forsvaret skal dog tænkes mere bredt end hidtil, og derfor peger IT-Branchen på fire kritiske områder, som bør indgå i Danmarks fremadrettede forsvarsindsats.
Krigen i Ukraine, det stigende antal cyberangreb fra andre nationer samt den globale uro har fået både danskernes og politikernes øjne op for, at den sikkerhedspolitiske trussel mod Danmark er reel og konkret.
”Det er ikke nok kun at investere i nyt materiel og personel for at beskytte Danmark. Truslen er i dag hybrid, fragmenteret og ikke mindst digital, og derfor foreslår vi fire centrale indsatsområder, som politikerne bør prioritere i de kommende forsvarsforhandlinger,” udtaler Jacob Herbst, CTO i Dubex A/S og medlem af det nationale Cybersikkerhedsråd samt forperson i IT-Branchens policy board for cybersikkerhed.
Forsvaret er underbemidlet og har opbygget en stor teknologisk gæld, ligesom en stor andel af de kritiske offentlige systemer, ikke er sikret godt nok.
Samtidig halter cybersikkerheden hos alt for mange virksomheder, og kompetencerne til at løse sikkerhedsudfordringerne findes ikke. IT-Branchen anbefaler i sit forsvarspolitiske udspil derfor fire strategiske indsatsområder, som skal styrke Danmarks cyberforsvar og -robusthed.
1. Styrkelse af offentlige it-systemer og kritisk infrastruktur
Ifølge Statens it-projektråd har en stor andel af de samfundskritiske, offentlige it-systemer ikke tilfredsstillende it-sikkerhed, og flere statslige myndigheder lever ikke på til de tekniske minimumskrav til it-sikkerhed.
Senest har også Rigsrevision udtalt kraftig kritik i en beretning om it-beredskabet for i alt 13 samfundskritiske systemer. Også i regionerne og kommunerne halter det med it-sikkerheden. ”I et digitaliseret land som Danmark er cybersikkerheden i de offentlige it-systemer vital for, at vi kan fungere som land og
sikre borgernes tillid til det offentlige. Vi bliver derfor nødt til investere at i bedre cybersikkerhed, så vi er bedre beredt på alle former for cyberangreb,” siger Jacob Herbst.
IT-Branchen foreslår følgende:
• Et markant øget investeringsniveau i offentlige it-systemer og infrastruktur
• Obligatoriske cybersikkerhedskurser i den offentlige sektor
• Øget koordination mellem myndigheder på tværs af stat, regioner og kommuner
• Øget fokus på offentlig-privat samarbejde (OPS)
2. Styrkelse af cyberforsvaret i danske virksomheder Danske virksomheder er i stigende grad mål for cyberangreb og -kriminalitet, hvilket også har negative konsekvenser for det
FAKTA
IT-Branchen hjælper hver dag vores medlemmer, branchen og samfundet med at vokse.
Vi brænder for at skabe et digitalt samfund for alle. Et samfund i vækst, og hvor Danmark står som et globalt fyrtårn, fordi vi udnytter teknologien til gavn for klimaet, økonomien og det enkelte menneske.
Vi lader ildsjælene hos vores medlemmer sætte retningen for en bedre fremtid. Det gavner Danmark, erhvervslivet, den enkelte borger og vores medlemsvirksomheder.
Det er ikke nok kun at investere i nyt materiel og personel for at beskytte Danmark.
Truslen er i dag hybrid, fragmenteret og ikke mindst digital, og derfor foreslår vi fire centrale indsatsområder, som politikerne bør prioritere i de kommende forsvarsforhandlinger
Jacob Herbst, CTO i Dubex A/S
danske samfund og vores digitale sammenhængskraft. Mange virksomheder udfører også samfundskritiske opgaver. Mere end halvdelen af de danske virksomheder har været ramt af mindst én sikkerhedshændelse i løbet af de seneste 12 måneder, og analyser viser, at it-sikkerhedsniveauet er for lavt i mere end 40 pct. af de danske SMV’er.
Derudover kan vi også konstatere, at 16% af de observerede russiske cyberangreb under krigen i Ukraine været rettet mod Danmark og Norden.
”Virksomhederne bliver nødt til at tage truslen seriøst og leve op til deres ansvar. Vi må og kan ikke acceptere, at en stor del af dansk erhvervsliv vil stoppe med at fungere, hvis de bliver ramt af cyberangreb. Og der ligger derfor en stor opgave i at opgradere it-sikkerheden hos især de små og mellemstore danske virksomheder,” fortæller Jacob Herbst.
IT-Branchen foreslår følgende:
• Et offentlig-privat partnerskab, der indsamler og dele viden om cybertrusler og -hændelser.
• Målrettet indsats for at hæve minimumssikkerhedsniveauet i SMV’er
• Ændret mandat til CFCS der indeholder krav om en øget indsat ift. civilsamfundet
• En hurtig og effektiv dansk implementering af NIS2-direktivet
3. Uddannelse i cybersikkerhedskompetencer
Ifølge DIGITALEUROPE mangler der allerede nu 200.000 cybersikkerhedseksperter i Europa, og Rådet for Digital Sikkerhed estimerer, at Danmark i 2030 vil mangle 15-20.000 fuldtidsressourcer inden for cyber- og informationssikkerhed.
”Vi kommer ikke langt med vores nationale cybersikkerhed, hvis vi ikke har nok af de rigtige mennesker til at løse opgaverne. Mere end hver tredje danske it-virksomhed efterspørger lige nu medarbejdere med cyberkompetencer, så det haster med at få uddannet og opkvalificeret flere medarbejdere indenfor cybersikkerhed,” siger Jacob Herbst.
IT-Branchen foreslår følgende:
• Akut investering i uddannelse af flere cyberspecialister i Danmark
• Øget integration af viden om cybersikkerhed i relevante (it-)uddannelser
• Øget efteruddannelse inden for cybersikkerhed
• Etablering af ”it-sikkerhedskørekort”
• Uddannelse, rekruttering og fastholdelse af it- og cybersikkerhedskompetencer i Forsvaret
• Sikre at vi tiltrækker og fastholder flere internationale studerende og talenter inden for cybersikkerhed
4. Øget cybersikring af det danske forsvar Som konflikten i Ukraine har vist, har måden hvorpå der føres krig ændret sig drastisk i de senere år, og der er behov for en øget digitalisering og cybersikring af Forsvaret.
”Moderne våbensystemer er digitale og forbundne, og den hastige teknologiske udvikling kræver et betydeligt løft af Forsvarets digitale rygrad, hvis vi skal kunne følge med de digitale muligheder og de tilhørende trusler, som et moderne forsvar står overfor. Samtidig kan en øget digitalisering være med til at imødegå nogle af de mandskabsmæssige udfordringer, Forsvaret snart vil møde, når den danske forsvarsindsats skal udvides,” udtaler Jacob Herbst.
IT-Branchen foreslår følgende:
• Nedbringelse af Forsvarets tekniske gæld
• Etablering af taskforce til at styrke cybersikkerheden i Forsvarets it-systemer
• Øget investering i offentlig-privat samarbejde om udvikling og anvendelse af dansk teknologi
• Øget kapacitet til akkreditering af danske cybersikkerhedsprodukter
• Øget andel af forsvarsbudgettet brugt på forskning og udvikling
I2024 træder et nyt it-sikkerhedsdirektiv i kraft (NIS2). Det skal styrke it-sikkerheden, og ifølge en ny kortlægning vil det i første omgang berøre godt 1.000 virksomheder på tværs af 12 sektorer.
- Det kan godt blive flere, der bliver direkte omfattet af direktivet, men det afhænger lidt af, hvordan loven bliver implementeret i Danmark, siger Morten Rosted Vang, fagleder for digital ansvarlighed i Dansk Industri (DI).
Derudover fremhæver Morten Rosted Vang, at vigtige leverandører til de omfattede virksomheder også kommer til at mærke NIS2-kravene.
Skulle nogen af de berørte virksomheder blive fanget i ikke at leve op til kravene, vil det give bøder på op til 2 procent af virksomhedens globale omsætning.
- Hvis myndighederne gør som de plejer og implementerer
Morten Rosted Vang, fagleder, digital ansvarlig og cybersikkerhed
Dansk Industri.
NIS2 efter sektoransvarsprincippet, kan de få store problemer med at skaffe medarbejdere nok til de mange nye tilsynsenheder i ressortministerierne, fordi der også er brug for de samme cyber-kompetencer i det private. Samtidig kan virksomhederne drukne i bureaukrati, hvis de forskellige myndigheder implementerer reglerne forskelligt. Vi kan potentielt ende i en situation, hvor virksomheder, der er omfattet af flere sektorer, skal efterleve forskellige krav og tilsynsregimer,” siger Morten Rosted Vang.
D-mærket er din garanti Heldigvis er der hjælp at hente. Virksomheder og organisationer kan nemlig sikre sig, at de lever op til minimumskravene ved at blive D-mærket.
- D-mærket bygger på europæiske og internationalt anerkendte
standarder og rammeværker, og der er god overensstemmelse mellem D-mærkets kriterier og krav og NIS2-direktivets krav til hhv. styring og forankring i ledelsen samt krav til risikostyring og sikkerhedsforanstaltninger og NIS2-direktivets minimumskrav som helhed, siger Morten Rosted Vang.
Han opfordrer desuden virksomheder i al almindelighed til at gøre brug af D-mærket.
- Ansvarlig it er helt nødvendig for at vi skal kunne bevare tiltroen til den omfattende digitalisering af verden, som vi ser ind i. Med D-mærket signalerer du ansvarlighed og kan dokumentere det for kunder og myndigheder, og du kan selv sove tryggere i visheden om, at du har gjort, hvad du kunne for at undgå digitale uheld eller kriminalitet, siger Morten Rosted Vang.
Industriens Fond står bag D-mærket i samarbejde med Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk.
D-mærket støttes af Erhvervsstyrelsen og er en uafhængig privat organisation.
EU er på vej med strammere krav til it-sikkerhed. Med D-mærket kan du sikre dig, at du lever op til kravene og dokumentere det for kunder.Med whistleblowerloven er det lovpligtigt at etablere en whistleblowerordning på alle private arbejdspladser med mindst 50 ansatte senest den 17. december 2023. Men er I klar som ledelse til at håndtere indberetninger fra en ansat?
Indberetninger, der handler om alvorlige overtrædelser på arbejdspladsen såsom tyveri, svig, underslæb, bedrageri, bestikkelse, grov chikane, seksuel chikane mv. om en anden ansat.
Hvad nu, hvis indberetningen fra en ansat handler om dig i ledelsen?
Beslutning til at træffe afgørelse om, hvad der skal ske med indberetningen, om der skal ske undersøgelser af, om indberetningen er korrekt, eller tiltag som afskedigelse eller politianmeldelse, skal tages af ledelsen. Hvem skal træffe den objektive beslutning, hvis ledelsen er inhabil til at træffe en upartisk beslutning?
Løsningen kan være at få etableret en ekstern whistleblowerordning og uddelegere, så en ekstern følger op på indberetningen, giver tilbagemelding til den ansatte og i de tilfælde, hvor ledelsen selv bliver whistleblowet, kan den eksterne whistleblowerenhed få mulighed for at indstille til tiltag eller sanktioner.
I modsat fald skal en ansat i virksomheden udpeges som whistleblowerordningens kontaktperson, hvis ledelsen står for skud. Så det kan godt være, at den ansatte kan agere som upartisk, uafhængig og ligesom en DPO-databeskyttelsesrådgiver ikke skal have instruks fra ledelsen om, hvorledes sagen skal behandles, men hvis din egen stilling bliver usikker, ville du så alligevel følge ledelsens instruktioner?
Whistleblower er en handling
Direkte oversat fra engelsk betyder whistleblower ’fløjteblæser’. Ordet stammer fra 1960’erne, hvor britiske og amerikanske
medier brugte det om fodbolddommere og dommere i andre sportsgrene, der blæser i en fløjte, når de ser en strafbar handling. I dag bruges ordet whistleblower om en person, der informerer om forhold, som vedkommende mener er kritisable eller direkte ulovlige. Om informationen lækkes til offentligheden, en myndighed eller en arbejdsplads, er ikke afgørende for brugen af ordet. Det er selve handlingen – at informere om lovbrud eller andre kritisable forhold – som kaldes whistleblowing. Da vi som samfund er interesserede i sandheden, er det vigtigt, at whistleblowers er beskyttede.
Ellers vil personen ofte vurdere, at karriere og anseelse på arbejdspladsen vægter højere end retskaffenhed. Netop derfor er det essentielt, at der findes regler, som gør det muligt at informere om ulovligheder. Vel at mærke, uden at whistlebloweren skal bekymre sig om repressalier for at være lovlydig og samvittighedsfuld.
I situationen, hvor det er ledelsen, der indberettes om, vil en intern whistleblowerordning gøre det svært at bevare fortroligheden omkring den ansattes identitet, hvilket er et krav i whistleblowerloven. Der er derfor meget på spil for den ansatte. Vedkommende kan blive anset som en stikker eller risikere andre repressalier. Det kan potentielt gå ud over personens anseelse i virksomheden. På den måde er whistleblowing en balancegang mellem loyalitet over for arbejdspladsen og ansvar over for loven og kollegaer. Et eksempel herpå er, da Finanstilsynet videregav oplysninger om syv whistleblowers til en journalist i forbindelse med en anmodning om aktindsigt. Finanstilsynet fik alvorlig kritik af Datatilsynet.
IFCR tilbyder en whistleblowerordning
Med en whistleblowerordning i IFCR-Institut for Cyber Risk får du en uafhængig og upartisk whistleblowerenhed til at administrere din whistleblowerordning.
Samtidig er du sikret, at din whistleblowerordning overholder whistleblowerlovens krav.
Du sender et klart signal om, at din virksomhed tager beskyttelsen af whistleblowers seriøst.
Whistleblowerordningen giver adgang til et helt team, mens en intern medarbejder typisk varetager opgaven alene. Der vil være adgang til yderligere ressourcer som f.eks. advokatrådgivning, IT-sikkerhedsteam, informationssikkerhed, ISO 27001 og verdens bedste hackere; denne titel har de vundet ved verdensmesterskabet, International Cybersecurity Challenge. Din whistleblowerordning mindsker sårbarheden over for videnstab, når en ansat medarbejder opsiger sin stilling, herunder omkostning til nyansættelser eller udfordringen med manglende interne ressourcer.
Ordningen bidrager til øget kvalitet af virksomhedens HR-arbejde og sikrer et højt beskyttelsesniveau af whistleblowers. Ordningen vil i sidste ende gavne virksomhedens økonomi, herunder at undgå bøder.
IFCR - Institut For Cyber Risk inviterer til webinaret “Der er ingen grund til at vente med at få etableret en Whistleblowerordning!” Webinaret afholdes den 28. marts 2023 kl. 10:00. Læs mere og tilmeld dig på ifcr.dk/events
Over 1.400 danske virksomheder står til at blive ramt af det kommende NIS2-sikkerhedsdirektiv fra EU, hvilket vil kræve samlede it-investeringer på op til 448 mio. kr.
Et stort antal danske virksomheder bliver snart ramt af nye massive it-sikkerhedskrav fra EU.
Men de færreste af de ramte virksomheder er sandsynligvis klar over det, og risikerer derfor at blive ramt af millionstore bøder, hvis de ikke lever op til kravene.
Fra medio 2024 skal over 1.400 danske virksomheder have implementeret en række omfattende sikkerhedsforanstaltninger, da de med et nyt EU-direktiv, NIS2, pludselige bliver defineret som en del af den kritiske infrastruktur. Tidligere har blot 130 danske virksomheder været en del af den kritiske danske infrastruktur.
Bl.a. bliver dele af detailhandlen samt en række fødevareproducenter, restauranter og transportvirksomheder, nu defineret som en del af den kritiske infrastruktur, der skal leve op til de massive it-sikkerhedskrav, som NIS2-direktivet kommer med. ”NIS2 har mange gode elementer, da vi pga. digitaliseringen af samfundet også naturligt får flere virksomheder, der bliver kritiske for Danmark. Men mange af de 1.400 virksomheder ved sandsynligvis ikke, at de pludselig er blevet en del af Danmarks kritiske infrastruktur. De står nu overfor massive it-investeringer, og risikerer enorme bøder, hvis de ikke når at implementere de nye sikkerhedskrav i tide,” siger Natasha Friis Saxberg, adm. direktør i IT-Branchen.
Lever virksomheden ikke op til NIS2-direktivet, risikerer de bøder på op til 75 mio. kr. eller 2% af virksomhedens omsætning – alt efter hvad der er højest.
Virksomhederne står overfor massive investeringer EU forventer, at de virksomheder, der skal leve op til det nye NIS2-sikkerhedsdirektiv skal øge deres it-investeringer med 20-30%.
For de danske virksomheder anslår analysevirksomheden IDC, at hver virksomhed i gennemsnit vil få en merudgift på 350.000 kr., hvilket svarer til samlede ekstra it-investeringer for de 1.400 berørte virksomheder på 448 mio. kr.
IT-Branchen advarer om, at så store investeringer ikke bare er noget, man implementerer på kort tid.
”Selvom direktivet først træder i kraft i 2024, så er implementeringstiden stadig forholdsvis kort, når det handler om så store it-investeringer. Det er derfor vigtigt, at myndighederne hurtigt
Danske myndigheder og virksomheder har en tendens til at overimplementere EU-lovgivningen. Men det er dyrt at være klassens duks, så vi skal hjælpe virksomhederne med at finde den rette balance, så der kommer styr på it-sikkerheden og leves op til reglerne, uden at virksomhederne mister overblikket og investerer store beløb i unødige tiltag.
Jacob Herbst, CTO i Dubex A/S
får orienteret alle berørte virksomheder om, at de er omfattet af det kommende sikkerhedsdirektiv. Ellers risikerer vi en situation, hvor virksomhederne ikke har mulighed for at afsætte midlerne og ressourcerne i tide,” udtaler Natasha Friis Saxberg.
Øgede krav til virksomhederne og ledelsen
Som noget nyt stiller NIS2 skrappe krav til både ledelsen, virksomhedens risikostyring og rapportering.
”Ledelsen får nu direkte ansvar for, at cyberrisikoen bliver identificeret og håndteret samt, at NIS2-kravene overholdes. Sker det ikke, kan myndighederne faktisk forbyde de ansvarlige chefer at have en ledelsesfunktion. Så de nye krav kan pludselig også have store personlige konsekvenser,” fortæller Jacob Herbst, CTO i Dubex A/S og medlem af det nationale Cybersikkerhedsråd samt forperson i IT-Branchens policy board for cybersikkerhed.
En stor del af kravene handler om at kunne forebygge og minimere cyberangreb – ikke bare hos en selv, men også i forhold til hele ens værdikæde. Det er især inden for disse områder, Jacob Herbst forventer, at virksomhederne skal investere og fokusere:
• Uddannelse af ledelsen
• Risikoanalyser med både forebyggende og begrænsende tiltag
• Sikkerhedspolitikker og procedurer
• Cyberhygiejne og adgangskontrol
• Forsyningskædesikkerhed for leverandører
• Håndtering af sikkerhedshændelser og rapportering indenfor 24 timer
• Beredskabsplaner og krisehåndtering
Jacob Herbst påpeger samtidig, at det er vigtigt at få lavet en national implementeringsplan og få hjulpet virksomhederne, så vi i Danmark undgår den forvirring og panik, der opstod, da Persondataforordningen blev indført.
”Danske myndigheder og virksomheder har en tendens til at overimplementere EU-lovgivningen. Men det er dyrt at være klassens duks, så vi skal hjælpe virksomhederne med at finde den rette balance, så der kommer styr på it-sikkerheden og leves op til reglerne, uden at virksomhederne mister overblikket og investerer store beløb i unødige tiltag,” slutter han.
Bagom tallene
IT-Branchen er sammen med Danmarks Statistik kommet frem til de 1.400 berørte virksomheder ved at kigge på de branchebetegnelser, som EU har skrevet, er omfattet NIS2, hvorefter disse er overført til danske branchekoder. Da virksomheder med under 50 medarbejdere som udgangspunkt ikke er omfattet NIS2-kravene, er de efterfølgende blevet fjernet. Det er dog de sektorspecifikke myndigheder, der tager endelig stilling til, hvilke virksomheder der skal omfattes af NIS2, og der kan derfor være forskel på den endelige liste af virksomheder og ovenstående tal, der er pt bedste bud på en kortlægning.
Industriens Fond er i gang med en mere detaljeret analyse af omfanget og paratheden hos de berørte virksomheder. Den analyse forventes at være klar i starten af det nye år.
Læs mere på www.itb.dk
DEN 28. MARTS 2023 KL. 10:00 - 11:15
Med whistleblowerloven er det lovpligtigt at etablere en whistleblowerordning på alle private arbejdspladser med 50 eller flere ansatte senest den 17. december 2023.
Der er ingen grund til at vente med at få etableret en whistleblowerordning. Derfor holder IFCR et webinar om de nye krav til etablering af en whistleblowerordning og beskyttelse af whistleblowere og om hvordan dette håndteres i dagligdagen.
Advokat & Senior Legal Manager i IFCR og stifter af Danmarks
Whistleblowerforening, Kasia Torian, er oplægsholder på webinaret.
Læs mere og tilmeld dig på ifcr.dk/events
Det er gratis at deltage på webinaret
