Overalt i det danske erhvervsliv arbejdes der intenst med at imødekomme kravene i NIS2-direktivet. Det viser helt nye tal fra PwC’s Cybercrime Survey 2025.
Således melder tre ud af fire (73%) af virksomhederne, der bliver berørt af NIS2, at de er i gang med implementeringen, og 13% fortæller, at de allerede har implementeret kravene.
Dog oplever de fleste af virksomhederne store udfordringer med at leve op til NIS2. Især oplever de udfordringer med at sikre hele forsyningskædens sikkerhed (49%) og at implementere en effektiv risikostyringsproces (42%).
NIS2 er mere end en tjekliste
Barriererne, som virksomhederne beskriver i PwC’s Cybercrime Survey, viser med al tydelighed, at NIS2 ikke er en enkel complianceøvelse.
”Jeg oplever, at der er stor forskel på modenheden. F.eks. har Pharma- og finansvirksomheder været i gang længe, og energisektoren er også kommet kraftigt med – især pga. den geopolitiske situation med øgede hybridangreb. Alligevel oplever vi, at de stort set alle sammen slås med de samme udfordringer,” udtaler adm. direktør i Conscia Danmark, Martin Høyer, der bl.a. hjælper virksomheder med at implementere og leve op til NIS2-kravene.
Først og fremmest oplever de i Conscia, at mange virksomheder ofte ”blot” ser NIS2-kravene som en form for tjekliste. En række statiske krav som de bare skal krydse af en enkelt gang, for at kunne sige, at de nu lever op til EU-direktivet.
Men det er en helt forkert tilgang til NIS2, hvis man spørger Martin Høyer:
”Det er jo jordens nemmeste opgave bare at sætte nogle krydser ved en tjekliste. Men så har man misforstået, hvad NIS2 grundlæggende går ud på. For det handler om modenhed, og om hvad man løbende skal gøre for at blive klogere på og mere erfaren i, hvordan man styrker sin modstandskraft.”
Ledelsen har svært ved at forholde sig til kompleksiteten
Den næste udfordring, han oplever er, at virksomhederne undervurderer vigtigheden af den organisatoriske forankring og den kontinuerlige medarbejdertræning.
Ofte bliver ansvaret delegeret videre til nogle, der sidder med ansvaret for nogle enkelte processer eller specifikke områder i organisationen. Det er en udfordring, da man så mister den overordnede forankring.
”Det nytter ikke, at man giver ansvaret til f.eks. it-chefen på et hospital. Her er det hospitalsdirektøren, der i sidste ende bør sidde med ansvaret. Det er ham, der i sidste ende skal vurdere, hvilken risiko man er villig til at løbe, hvis konsultationer, behandlinger og operationer kan risikere at stoppe pga. et cyberangreb,” siger Martin Høyer.
For ledelsen handler det derfor om at adoptere NIS2 som en del af deres forretningsprioritet og at forstå, at cybersikkerhed er noget, der hele tiden flytter sig. Så man skal hele tiden holde sig opdateret og være i stand til at reagere på trusler.
Løbende uddannelse af både ledelse og medarbejderne er derfor helt essentiel, hvis man skal leve op til NIS2-kravene.
Det handler om processer – ikke blot systemer
Organisatorisk forankring og træning er dog ikke nok. Systemerne skal naturligvis være opdaterede.
Rapporten fra PwC viser heldigvis, at antallet af virksomheder med manglende teknologisk modenhed er faldet fra 33% i 2024 til 29% i år. Så der bliver investeret i nyt hard- og software, selvom der stadig er for mange, der ikke har opdateret deres systemer – og endnu flere der ikke har styr på processerne rundt om systemerne.
”Det er lidt ligegyldigt at have et godt it-system, hvis der ikke er styr på processen for, hvem der f.eks. har adgang til det, eller hvad de har mulighed for at gøre i systemet. Så det er vigtigt, at der er en HR-organisation, der sammen med it kan bære de her nye processer og kulturforandringer ud i organisationen,” forklarer Martin Høyer.
Uden overblik er risikovurderingen svær
Næsten halvdelen (42%) af virksomhederne fortæller, at de slås med risikovurderingerne i forbindelse med NIS2. Her oplever Martin Høyer, at mange virksomheder slås med det helt basale overblik over deres it-landskab og kendskabet til brugeradfærden.
Inden man kan lave en ordentlig risikovurdering, er det derfor vigtigt, at man skaber sig et overblik over, hvad man bruger it til i organisationen.
”Det nytter ikke, hvis man f.eks. kun kigger på, hvordan brugerne arbejder fra kontoret, hvis en stor del af medarbejderne kobler på eksternt eller fra andre enheder. Man skal passe på ikke at få tunnelsyn, og kigge for snævert på brugeradfærd og ens it-landskab, når man laver sin analyse,” understreger Martin Høyer.
Risikoanalyser kan da også blive meget komplekse og omfattende. Derfor anbefaler Martin Høyer, at man ikke bare starter med et blankt stykke papir, men måske tager fat i en professionel partner, der allerede har velafprøvede analysemetoder, modeller og værktøjer, der kan hjælpe en.
“NIS2 skal ses som en have, der hele tiden skal plejes”
Selvom virksomhederne fortæller, at de slås med kompleksiteten i NIS2-kravene, så er det vigtigt, at man ikke holder sig tilbage. For selv små skridt er gode skridt, hvis man spørger Martin Høyer.
”Min store bekymring er, at virksomhederne går i stå, efter at have gennemgået NIS2-kravene én gang. Men man skal se NIS2 som en have, der hele tiden skal plejes, hvis man vil undgå ukrudt og problemer. Det kræver løbende investeringer på området – især internt og i forhold til løbende afklaring af roller, awarenesstræning samt optimering af processer,” slutter Martin Høyer.
Hvis du vil vide mere
IT-Branchen har oprettet et større NIS2-univers, hvor du kan blive klogere på, hvad NIS2 går ud på, hvilke krav man skal leve op til – og ikke mindst hvem af vores medlemmer, der står parat til at hjælpe med implementeringen af NIS2-direktivet.
Har du interesse i vores politiske aktiviteter indenfor cybersikkerhed og regulatoriske rammer, kan du læse mere om vores arbejde på disse fronter via vores policy board for cybersikkerhed og policy board for regulatoriske rammer.
Vi afholder også løbende events og webinarer omkring NIS2, så hold dig opdateret omkring disse på vores eventside.