Mindre end et år til EU’s nye NIS2-direktiv for cybersikkerhed: Hver anden danske private og offentlige virksomhed har ikke kompetencerne til at håndtere cyberangreb
Danske virksomheder er fuldt bevidste om de alvorlige konsekvenser, som de stigende cybertrusler kan have for deres forretning. Alligevel erkender halvdelen af virksomhederne, at de ikke har de rette kompetencer inden for cybersikkerhed til at håndtere det nuværende risikoniveau. Det viser rapporten IT i praksis® 2023-24, som Rambøll Management Consulting og Dansk IT står bag.
Cybersikkerhed er den absolut største bekymring i de danske virksomheder i 2023. Hele 86 pct. af de danske topchefer betragter cybersikkerhed som en topstrategisk agenda for deres virksomhed. Et voksende antal virksomheder etablerer da også detaljerede beredskabsplaner for cyberangreb og it-nedbrud. Desværre indikerer halvdelen af de private virksomheder (50 pct.) og 43 pct. af de offentlige organisationer, at de ikke besidder kompetencerne til at håndtere det stigende trusselsniveau. Det viser nye tal fra Rambøll og Dansk IT’s rapport IT i praksis® 2023-24.
Rapporten dokumenterer desuden, at 66 pct. af virksomhederne har udarbejdet beredskabsplaner i tilfælde af alvorlige cyberangreb og it-nedbrud. I den offentlige sektor svarer blot 56 pct. af organisationerne, at de har et stærkt og afprøvet kriseberedskab, hvis de skulle blive ramt af et cyberangreb.
“Mangel på kvalificerede it-specialister er fortsat en generel udfordring for mange virksomheder, og problemet er særligt udtalt inden for cybersikkerhed. Det er stærkt bekymrende, at hver anden virksomhed mangler kompetencer til at bekæmpe cyberkriminalitet. Manglen på sikkerhedskompetencer – der også ses tydeligt i den offentlige sektor – er et nationalt anliggende, ingen kan sidde overhørig i en tid, hvor cybertruslerne i høj grad omfatter professionelle grupperinger, økonomisk afpresning og involvering fra nationalstater,” siger Steen Christensen, direktør i Rambøll Management Consulting.
Også hos Dansk IT giver undersøgelsen anledning til panderynker: “Selvom virksomhederne i adskillige år har påpeget en nærmest desperat mangel på it-kompetencer, har manglen alligevel nået sit højeste niveau i mange år, hvilket kalder på politisk bevågenhed, hvis vi som nation skal løse denne gordiske knude. Der er desværre ingen tvivl om, at manglen på it-specialister vil fortsætte de kommende år. Selvom det ikke ligefrem løser udfordringerne, bør virksomhederne absolut opprioritere kompetenceudvikling af alle typer medarbejdere med opgaver knyttet til digitalisering, og de bør samtidig afsøge de nyeste muligheder for automatisering af processer og arbejdsgange,” siger Kim Stensdal, chef for kommunikation og viden i Dansk IT.
NIS2-flaskehalse lurer i horisonten
EU har i mange år forsøgt at styrke cybersikkerheden i samfundskritiske sektorer i Europa via sikkerhedsdirektiver, og det største af direktiverne var NIS1 (net- og informationssikkerhedsdirektivet), hvis formål var at opnå et højt fælles niveau af cybersikkerhed på tværs af medlemsstaterne. Den 17. oktober 2024 træder opfølgeren NIS2 i kraft, som udvider omfanget af sektorer og deres forsyningskæder, så alle organisationer, der varetager kritiske funktioner i samfundet, bliver omfattet af direktivet. NIS2 indeholder desuden en central bestemmelse om, at bestyrelsesansvaret for cybersikkerhed nu ikke kun omfatter virksomheden selv, men også indebærer risikohåndtering i værdikæden. Formålet med udvidelsen er at sikre, at den kritiske infrastruktur i Europa bliver løftet op på et sikkerhedsniveau, der er forsvarligt i forhold til nutidens risikobillede.
“Når man kombinerer de manglende kompetencer med det store, forestående arbejde med at gøre virksomhederne klar til NIS2, er Dansk IT’s vurdering, at mange virksomheder ser ind i deciderede flaskehalse de kommende 12 måneder. Kan virksomhederne ikke ansætte sig til de nødvendige kompetencer, må de søge ekstern bistand, men også her kan der være knappe ressourcer. Det er vitalt, at man får lagt en klar plan for, hvordan man vil håndtere NIS2 – og her er en kompetencerne naturligvis en central del af planen,” påpeger Kim Stensdal fra Dansk IT.
”Samtidig er det værd at bemærke, at de virksomheder og offentlige myndigheder, der har implementeret sikkerhedsstandarden ISO 27001, vil være rigtig godt rustet til også at kunne håndtere NIS2. Det har været et krav at følge ISO 27001 hos de statslige myndigheder siden 2016, så de bør som udgangspunkt også været rigtig langt i forhold til NIS2,” lyder det fra Dansk IT.
Energisektoren særlig udsat
En af de brancher, der bliver omfattet af NIS2-udvidelsen, er energisektoren og dens underleverandører. Her står det imidlertid værre til end for danske virksomheder generelt, idet hele 61 pct. af energibranchens virksomheder indikerer, at de mangler kompetencer til håndtering af cybersikkerhed. Mens 66 pct. af alle virksomheder har beredskabsplaner på plads, er dette tal for energibranchen nede på 54 pct.
“Efter oktober 2024 vil langt flere virksomheder blive mødt af de nye retningslinjer og proceskrav, der er indeholdt i NIS2-direktivet. Det gælder ikke blot selve infrastrukturvirksomhederne, men også deres underleverandører, der vil blive påkrævet dokumentation for deres sikkerhedstiltag. Denne udvidelse vil også gælde i energisektoren, hvor omfanget i den eksisterende lovgivning hidtil har været begrænset til virksomheder, der producerer, forsyner eller balancerer energi i el- og naturgassektoren. Med en langt bredere NIS2-fortolkning, oplever jeg desværre, at mange undervurderer dette compliance-arbejde,” siger Steen Christensen fra Rambøll Management Consulting.
Virksomheder, der er omfattet af NIS2-direktivet, vil kunne idømmes bøder på op til 10 mio. euro eller to pct. af den samlede internationale omsætning, såfremt de ikke lever op til kravene i NIS2-bestemmelserne.
Om IT i praksis®
For 28. år i træk har Rambøll Management Consulting i samarbejde med Dansk IT gennemført den omfattende undersøgelse IT i praksis®, som kortlægger aktuelle udfordringer, tendenser og muligheder, som danske virksomheder og myndigheder møder i deres bestræbelser på at skabe værdi gennem digitalisering. Rapporten giver desuden svar på borgernes holdning til blandt andet digital kommunikation og brugen af velfærdsteknologi.
Den private sektor afrapporteres på baggrund af et repræsentativt udsnit af de 1.000 største virksomheder fordelt på 20 brancher. Fra den private sektor har 120 it-ansvarlige og 42 forretningsansvarlige fra Danmarks top-1000 virksomheder deltaget. Fra den offentlige sektor har 102 it-ansvarlige og 70 forretningsansvarlige på kommunalt, regionalt og statsligt niveau deltaget. For at kunne tegne et fyldestgørende billede af både holdninger, udfordringer og tendenser er der skelnet mellem den offentlige og den private sektor i en hhv. dansk og engelsk rapport.
I borgerundersøgelsen har 1.000 danske borgere i et online webpanel besvaret en række spørgsmål gennem et online webpanel om digitalisering i den offentlige sektor, herunder hvordan borgerne forholder sig til øget it-kriminalitet, deres anvendelse af digitale services samt, hvordan det øgede brug af kunstig intelligens opleves og håndteres af det offentlige. Resultaterne fra borgerundersøgelsen fremgår af den danske udgave af IT i praksis®.
IT i praksis® er gennemført i april til august 2023.
Rapporten dokumenterer desuden, at 66 pct. af virksomhederne har udarbejdet beredskabsplaner i tilfælde af alvorlige cyberangreb og it-nedbrud. I den offentlige sektor svarer blot 56 pct. af organisationerne, at de har et stærkt og afprøvet kriseberedskab, hvis de skulle blive ramt af et cyberangreb.
“Mangel på kvalificerede it-specialister er fortsat en generel udfordring for mange virksomheder, og problemet er særligt udtalt inden for cybersikkerhed. Det er stærkt bekymrende, at hver anden virksomhed mangler kompetencer til at bekæmpe cyberkriminalitet. Manglen på sikkerhedskompetencer – der også ses tydeligt i den offentlige sektor – er et nationalt anliggende, ingen kan sidde overhørig i en tid, hvor cybertruslerne i høj grad omfatter professionelle grupperinger, økonomisk afpresning og involvering fra nationalstater,” siger Steen Christensen, direktør i Rambøll Management Consulting.
Også hos Dansk IT giver undersøgelsen anledning til panderynker: “Selvom virksomhederne i adskillige år har påpeget en nærmest desperat mangel på it-kompetencer, har manglen alligevel nået sit højeste niveau i mange år, hvilket kalder på politisk bevågenhed, hvis vi som nation skal løse denne gordiske knude. Der er desværre ingen tvivl om, at manglen på it-specialister vil fortsætte de kommende år. Selvom det ikke ligefrem løser udfordringerne, bør virksomhederne absolut opprioritere kompetenceudvikling af alle typer medarbejdere med opgaver knyttet til digitalisering, og de bør samtidig afsøge de nyeste muligheder for automatisering af processer og arbejdsgange,” siger Kim Stensdal, chef for kommunikation og viden i Dansk IT.
NIS2-flaskehalse lurer i horisonten
EU har i mange år forsøgt at styrke cybersikkerheden i samfundskritiske sektorer i Europa via sikkerhedsdirektiver, og det største af direktiverne var NIS1 (net- og informationssikkerhedsdirektivet), hvis formål var at opnå et højt fælles niveau af cybersikkerhed på tværs af medlemsstaterne. Den 17. oktober 2024 træder opfølgeren NIS2 i kraft, som udvider omfanget af sektorer og deres forsyningskæder, så alle organisationer, der varetager kritiske funktioner i samfundet, bliver omfattet af direktivet. NIS2 indeholder desuden en central bestemmelse om, at bestyrelsesansvaret for cybersikkerhed nu ikke kun omfatter virksomheden selv, men også indebærer risikohåndtering i værdikæden. Formålet med udvidelsen er at sikre, at den kritiske infrastruktur i Europa bliver løftet op på et sikkerhedsniveau, der er forsvarligt i forhold til nutidens risikobillede.
“Når man kombinerer de manglende kompetencer med det store, forestående arbejde med at gøre virksomhederne klar til NIS2, er Dansk IT’s vurdering, at mange virksomheder ser ind i deciderede flaskehalse de kommende 12 måneder. Kan virksomhederne ikke ansætte sig til de nødvendige kompetencer, må de søge ekstern bistand, men også her kan der være knappe ressourcer. Det er vitalt, at man får lagt en klar plan for, hvordan man vil håndtere NIS2 – og her er en kompetencerne naturligvis en central del af planen,” påpeger Kim Stensdal fra Dansk IT.
”Samtidig er det værd at bemærke, at de virksomheder og offentlige myndigheder, der har implementeret sikkerhedsstandarden ISO 27001, vil være rigtig godt rustet til også at kunne håndtere NIS2. Det har været et krav at følge ISO 27001 hos de statslige myndigheder siden 2016, så de bør som udgangspunkt også været rigtig langt i forhold til NIS2,” lyder det fra Dansk IT.
Energisektoren særlig udsat
En af de brancher, der bliver omfattet af NIS2-udvidelsen, er energisektoren og dens underleverandører. Her står det imidlertid værre til end for danske virksomheder generelt, idet hele 61 pct. af energibranchens virksomheder indikerer, at de mangler kompetencer til håndtering af cybersikkerhed. Mens 66 pct. af alle virksomheder har beredskabsplaner på plads, er dette tal for energibranchen nede på 54 pct.
“Efter oktober 2024 vil langt flere virksomheder blive mødt af de nye retningslinjer og proceskrav, der er indeholdt i NIS2-direktivet. Det gælder ikke blot selve infrastrukturvirksomhederne, men også deres underleverandører, der vil blive påkrævet dokumentation for deres sikkerhedstiltag. Denne udvidelse vil også gælde i energisektoren, hvor omfanget i den eksisterende lovgivning hidtil har været begrænset til virksomheder, der producerer, forsyner eller balancerer energi i el- og naturgassektoren. Med en langt bredere NIS2-fortolkning, oplever jeg desværre, at mange undervurderer dette compliance-arbejde,” siger Steen Christensen fra Rambøll Management Consulting.
Virksomheder, der er omfattet af NIS2-direktivet, vil kunne idømmes bøder på op til 10 mio. euro eller to pct. af den samlede internationale omsætning, såfremt de ikke lever op til kravene i NIS2-bestemmelserne.
Om IT i praksis®
For 28. år i træk har Rambøll Management Consulting i samarbejde med Dansk IT gennemført den omfattende undersøgelse IT i praksis®, som kortlægger aktuelle udfordringer, tendenser og muligheder, som danske virksomheder og myndigheder møder i deres bestræbelser på at skabe værdi gennem digitalisering. Rapporten giver desuden svar på borgernes holdning til blandt andet digital kommunikation og brugen af velfærdsteknologi.
Den private sektor afrapporteres på baggrund af et repræsentativt udsnit af de 1.000 største virksomheder fordelt på 20 brancher. Fra den private sektor har 120 it-ansvarlige og 42 forretningsansvarlige fra Danmarks top-1000 virksomheder deltaget. Fra den offentlige sektor har 102 it-ansvarlige og 70 forretningsansvarlige på kommunalt, regionalt og statsligt niveau deltaget. For at kunne tegne et fyldestgørende billede af både holdninger, udfordringer og tendenser er der skelnet mellem den offentlige og den private sektor i en hhv. dansk og engelsk rapport.
I borgerundersøgelsen har 1.000 danske borgere i et online webpanel besvaret en række spørgsmål gennem et online webpanel om digitalisering i den offentlige sektor, herunder hvordan borgerne forholder sig til øget it-kriminalitet, deres anvendelse af digitale services samt, hvordan det øgede brug af kunstig intelligens opleves og håndteres af det offentlige. Resultaterne fra borgerundersøgelsen fremgår af den danske udgave af IT i praksis®.
IT i praksis® er gennemført i april til august 2023.
