Tiger peering through dense forest

De 5 vigtigste ting SMV’erne skal vide for at blive klar til NIS2

Mere end en tredjedel af de virksomheder, der rammes af NIS2-direktivet, når det er fuldt indfaset i oktober 2024, ligger i SMV-segmentet.


Opsummering:

  • Særligt virksomheder indenfor en række væsentlige og vigtige sektorer i vores samfund rammes af NIS2-direktivet.
  • Mange små og mellemstore virksomheder har ikke tilstrækkeligt godt styr på sikkerheden i forhold til deres risikoprofil.
  • Overholdelsen af kravene i direktivet kan forebygge sanktioner, men kan også bruges til at opnå et højere sikkerhedsniveau.

Industriens Fond har for nyligt udgivet en kortlægning af, hvor mange danske virksomheder, der rammes af NIS2, når direktivet er fuldt indfaset i oktober 2024. Kortlægningen tegner et billede af, at NIS2 rammer bredt, og at over en tredjedel af de omfattede virksomheder hører til i SMV-segmentet.
 

Mange små og mellemstore virksomheder har ikke styr på cybersikkerheden

Ligesom resten af de danske virksomheder udsættes SMV’erne for stigende cybertrusler. Men hvor store virksomheder ofte har musklerne til at modstå truslerne, ser det anderledes svært ud for mange mindre virksomheder. Således konkluderer Erhvervsstyrelsen i sin rapport fra september sidste år, at 44 % af de små og mellemstore virksomheder ikke har tilstrækkeligt godt styr på sikkerheden i forhold til deres risikoprofil.
 

Set i det lys er NIS2-direktivet en kærkommen anledning til at give SMV-cybersikkerheden et serviceeftersyn. 

Hvem omfattes af NIS2-direktivet?

EU har medtaget de mellemstore virksomheder i direktivet, fordelt på følgende væsentlige og vigtige sektorer i vores samfund:

Hvilke krav skal din virksomhed leve op til?

Hvis din virksomhed er en del af ovennævnte sektorer, er der fem ting, som I bør vide for at komme godt i gang med forberedelserne:

  1. Der er 10 risikostyringsforanstaltninger, som I skal leve op til
    I skal sikre passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre sikkerhedsrisiciene i jeres netværk og IKT-systemer for at forhindre eller afbøde indvirkningen af cyberhændelser på forbrugere af jeres tjenesteydelser. Disse foranstaltninger omfatter:
    • Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
    • Grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse
    • Anvendelse af multifaktorautentificering, sikret tale-, video- og tekstkommunikation
    • Hændelseshåndtering
    • Forsyningskædesikkerhed
    • Politikker for risikoanalyse og informationssikkerhed
    • Driftskontinuitet (fx backupstyring, reetablering og krisestyring)
    • Anvendelse af kryptografi og kryptering
    • Politikker/procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
    • Sikkerhed ifm. erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
       
  2. Ledelsen skal stå til ansvar for jeres cybersikkerhed
    Ledelsen i jeres organisation skal godkende de føromtalte risikostyringsforanstaltninger og skal derudover undervises i cybersikkerhed. Manglende overholdelse af risikostyringsforpligtelserne kan medføre en midlertidig udelukkelse fra udøvelse af ledelsesfunktioner.

  3. Strengere sanktionsregime
    Manglende overholdelse af NIS2-kravene kan medføre mærkbare sanktioner. Sanktionerne kan være i form af bøder på op til 10 millioner euro (ca. 74 millioner kroner) eller op til 2 % af årsomsætningen, samt suspension af godkendelse til at udøve de aktiviteter eller de tjenesteydelser, som I sædvanligvis udbyder.

  4. Strengere tilsynsregime
    NIS2 medfører et stærkt tilsyn med overholdelsen af kravene i direktivet. Det betyder, at jeres virksomhed kan blive mål for on-site og off-site tilsyn, herunder stikprøvekontroller, regelmæssig og målrettet revision, sikkerhedsscanninger, anmodninger om dataadgang m.m. Omfanget af tilsynene vil variere alt efter, om jeres organisation klassificeres som en vigtig eller væsentlig enhed, hvor væsentlige enheder har større tilsynsfokus.

  5. Strengere krav til indberetning af hændelser
    I tilfælde af en cyberhændelse skal I kunne anmelde hændelsen til relevante myndigheder inden for 24 timer og udføre en hændelsesrapport inden for 72 timer. Rapporten skal indeholde en detaljeret fremstilling af hændelsen, angive trusselstypen eller grundårsagen, som sandsynligvis udløste hændelsen, samt en beskrivelse af de anvendte eller igangværende afbødende foranstaltninger.

Det er vigtigt, at jeres organisation er bekendt med de cybersikkerhedskrav, som I skal leve op til. Manglende efterlevelse heraf kan nemlig medføre alvorlige sanktioner. Det er dog også værd at huske på, at kravene i direktivet er til for at hjælpe med at beskytte jeres data, systemer og processer.

Derfor vil overholdelsen af kravene ikke blot være med til at forebygge sanktioner, men kan også bruges som en rettesnor i forhold til at opnå et højere sikkerhedsniveau, og derved skåne både jer, jeres kunder og forbrugerne fra de mest alvorlige afledte effekter og følgevirkninger af et evt. fremtidigt cyberangreb.

Kontakt

Har du spørgsmål hertil, er du meget velkommen til at kontakte os.

  • Alex Priergaard-Møller, tlf.2529 5860
  • Paula A. Lalanda, tlf. 2529 5327
  • Philip Sandahl Johansen, tlf. 2529 3160

Sammendrag

Når NIS2-direktivet er fuldt indfaset i oktober 2024 får det også konsekvenser for SMV-segmentet. Ligesom resten af de danske virksomheder udsættes SMV’erne for stigende cybertrusler. Men hvor store virksomheder ofte har musklerne til at modstå truslerne, ser det anderledes svært ud for mange mindre virksomheder. Erhvervsstyrelsen konkluderer i en rapport fra september sidste år, at 44 % af de små og mellemstore virksomheder ikke har tilstrækkeligt godt styr på sikkerheden i forhold til deres risikoprofil. Set i det lys er NIS2-direktivet en kærkommen anledning til at give SMV-cybersikkerheden et serviceeftersyn.

Om denne artikel

Relateret artikel