97 % af danske top-1000 virksomheder er ikke klar til skrappere sikkerhedskrav fra EU

I Europa er vi i fuld gang med at digitalisere styringen af samfundskritiske ressourcer som vand, energi, sundhedsvæsen, kommunikation og finans. Men effektiviseringen har en bagside, for den gør samtidig vores infrastruktur mere sårbar over for it-kriminalitet og hybridkrig. Derfor stiller EU nu markant højere sikkerhedskrav til alle organisationer i de 27 medlemslande, der leverer samfundskritiske services.

Det meget omtalte NIS2-direktiv, der skal højne cybersikkerhedsniveauet på tværs af EU, forventes at træde i kraft her i Danmark den 1. juli 2025 - om blot otte måneder. Men der er tydelige tegn på, at mange danske virksomheder får svært ved at blive klar til tiden. Det viser Rambøll og Dansk IT’s årlige undersøgelse IT i praksis®. I undersøgelsen er et repræsentativt udvalg af de 1.000 største danske virksomheder blevet spurgt, hvor forberedte de er på de kommende NIS2-krav. Tallene viser, at kun 3 pct. har opnået compliance.

Opgaven er langt større end forventet

NIS2 omfatter en række meget vidtgående sikkerhedskrav. For mange danske virksomheder vil de risikovurderinger, der indgår i NIS2, kræve en komplet kortlægning af al anvendt soft- og hardware i deres digitale infrastruktur. Netværk som typisk har vokset og knopskudt i årtier, og som ingen har komplet overblik over, er ligeledes omfattet af NIS2.

Med NIS2 følger også et krav om, at virksomhederne skal være i stand til at opdage alle sikkerhedshændelser inden for 24 timer og indberette dem til myndighederne inden for 72 timer. Så selvom 81 pct. af de adspurgte topledere mener, at deres virksomheder nok skal opnå compliance til deadline, tyder meget på, at den vurdering er overoptimistisk.

"Mange af de virksomheder, der vil blive omfattet af NIS2, er ikke fuldt ud klar over konsekvenserne. F.eks. har næsten ingen af dem den transparens i deres cybersikkerhed, der skal til for at opdage og rapportere sikkerhedshændelser inden for hhv. 24 og 72 timer. Det her handler ikke om lige at smække et par ekstra firewalls op. Det er fundamentale, vidtrækkende og potentielt store investeringer i cybersikkerheden, der skal til for at løfte dem op på NIS2-niveau. I det perspektiv er otte måneder ikke ret lang tid. Det svarer lidt til at tro, at man kan træne sig op til et maraton på et par uger," siger Steen Christensen, direktør i Rambøll Management Consulting.

Start på minimumskravene nu

Danmark er en af verdens mest digitaliserede nationer, og derfor giver det god mening at øge beskyttelsen af vores samfundskritiske infrastrukturer. F.eks. viser IT i praksis®-undersøgelsen også, at 10 pct. af de adspurgte virksomheder har været udsat for driftsforstyrrende cyberangreb inden for de seneste 12 måneder. Men selvom NIS2-direktivet omfatter en række minimumskrav, forholder mange af de berørte virksomheder sig afventende. Ikke mindst på grund af forsinkelser i det danske lovarbejde.

"Når EU og staten indfører nye sikkerhedskrav, kan det let blive opfattet som tiltag, der trækkes ned over hovedet på virksomhederne. Altså endnu en opgave, man "tvinges til at bruge penge på". Der er heller ingen tvivl om, at det forsinkede lovarbejde har fået mange til at lurepasse på, hvor den danske lovgivning lander. Men det er spild af kostbar tid. Dels fordi man så risikerer at skulle lave en feberredning i et marked støvsuget for sikkerhedskonsulenter, der ender med et både dyrere og dårligere resultat. Men også fordi, at NIS2 jo ikke bare er en papirøvelse, man fordriver tiden med nede i Bruxelles. Det er en kæmpe forbedring af det fælleseuropæiske cyberforsvar, som gør os langt mindre sårbare i en stadig mere ustabil verden," siger Kim Stensdal, chef for viden og kommunikation i Dansk IT.

Om NIS2

NIS2 (Network and Information Systems Directive 2) er et EU-direktiv, der har til formål at sikre et højere niveau af cybersikkerhed i hele unionen. Direktivet er en opdatering af det tidligere NIS-direktiv og stiller skærpede krav til virksomheder og organisationer, der leverer samfundskritiske tjenester. I takt med at vores samfund bliver mere digitaliseret, stiger også truslen fra cyberangreb. NIS2-direktivet er et svar på den udvikling og skal hjælpe med at beskytte kritisk infrastruktur og forbrugerdata.

NIS2-direktivet omfatter et bredt spektrum af virksomheder og organisationer, der leverer samfundskritiske tjenester. Herunder vand-, energi- transport-, sundheds-, kommunikations- og banksektoren. Op mod 1500 danske virksomheder og deres forsyningskæder forventes omfattet af de skærpede sikkerhedskrav.

Blandt de vigtigste NIS2-krav er:

• Risikovurdering: Virksomheder skal foretage en risikovurdering af deres IT-systemer for at identificere potentielle sårbarheder.
• Håndtering af sikkerhedshændelser: Virksomheder skal have robuste procedurer for at håndtere cyberangreb og andre sikkerhedshændelser.
• Rapporteringspligt: Ved alvorlige hændelser skal virksomheder underrette de nationale myndigheder.Samarbejde med myndigheder: Virksomheder skal samarbejde med de nationale myndigheder for at forbedre cybersikkerheden.

Om IT i praksis®

For 29. år i træk har Rambøll Management Consulting i samarbejde med Dansk IT gennemført den omfattende undersøgelse IT i praksis®, som kortlægger aktuelle udfordringer, tendenser og muligheder, som danske virksomheder og myndigheder møder i deres bestræbelser på at skabe værdi gennem digitalisering. Rapporten giver desuden indblik i borgernes holdning til digitalisering i den offentlige sektor, myndighedernes brug af kunstig intelligens i afgørelser, borgernes beredskab i en eventuel krisesituation, samt hvordan de forholder sig til samfundsmæssige bidrag til bæredygtighedsagendaen.

Den private sektor afrapporteres på baggrund af et repræsentativt udsnit af Danmarks største virksomheder, der indgår i Børsens seneste top-1000 virksomhedsoversigt. Fra den private sektor har 112 it-ansvarlige og 37 forretningsansvarlige deltaget. Fra den offentlige sektor har 85 it-ansvarlige og 60 forretningsansvarlige på kommunalt, regionalt og statsligt niveau deltaget. For at kunne tegne et fyldestgørende billede af både holdninger, udfordringer og tendenser er der skelnet mellem den offentlige og den private sektor i en hhv. dansk- og engelsksproget rapport.

IT i praksis® er gennemført i perioden fra april til august 2024.

I borgerundersøgelsen, er der gennemført en online meningsmåling blandt 1.025 danske borgere i perioden fra den 22. juli til den 31. juli. Resultaterne fra borgerundersøgelsen fremgår af den danske udgave af IT i praksis®.

Hent IT i praksis® 2024-2025