Ny guide giver SMV’er værktøjer til at navigere i EU’s krav til cybersikkerhed

I 2023 blev danske virksomheder i gennemsnit udsat for 2.521 cyberangreb om ugen. Ifølge en ny rapport fra PWC er antallet af angreb mod danske virksomheder steget med hele 49 % på bare ét år. Angrebene rammer bredt på tværs af brancher og industrier – og ikke længere kun virksomheder, der arbejder fokuseret med it.

Denne udvikling hænger sandsynligvis sammen med den stigende digitalisering af virksomheder uanset størrelse. For små og mellemstore virksomheder (SMV’er) betyder det, at cybertrusler ikke længere kan ignoreres – heller ikke selvom man ikke arbejder direkte med it og data.

Alligevel mangler mange SMV’er fortsat ressourcer og ekspertise til at håndtere cybertrusler, især i lyset af de nye lovkrav fra EU. For at imødekomme dette har Alexandra Instituttet, Force Technology og Dansk Standard udviklet en guide, der gør det lettere for SMV’er at forstå og efterleve reglerne.

"Mange SMV'er ved godt, at der kommer lovgivning, som skal få dem til at forbedre cybersikkerheden. Der går dog også mange rygter om, hvad det indebærer. Tanken med guiden er at give et samlet overblik over de forskellige love, så virksomhederne ved, hvor de skal sætte ind og give nogle bud på, hvordan man kan komme i gang med arbejdet på en fornuftig måde", siger Michael Bladt Stausholm, der er Principal Security Architect ved Alexandra Instituttet.

Krav fra forskellige sider

For at hjælpe europæiske virksomheder på vej, har EU de sidste par år skærpet lovkravene på cyberområdet, der sigter mod at skabe et sikkert digitalt EU og styrke europæiske virksomheders modstandsdygtighed.

"Det kan være ret ødelæggende for små og mellemstore virksomheder at blive udsat for cyberangreb, og lovgivningen fra EU er en god rettesnor ift. at få basale sikkerhedstiltag på plads - men kun hvis virksomhederne er i stand til at leve op til den. Guiden er en håndsrækning, som skal gøre det nemmere for virksomhederne at følge lovgivningen og sikre sig bedre mod cyberangreb", fortæller Jeppe Pilgaard Bjerre, specialist i FORCE Technology.

Især to nye EU-lovkrav får betydning for mange danske virksomheder fremover. Det gælder NIS2-direktivet, som stiller krav til, at virksomheder i kritiske sektorer og deres leverandører styrker deres cybersikkerhed. Dertil kommer Cyber Resilience Act, der stiller krav til cybersikkerheden i digitale produkter, både hardware og software.

"Vi har udarbejdet guiden for at gøre cybersikkerhed mere overskueligt for SMV’er. Den giver et overblik over kravene og nogle redskaber til at strukturere arbejdet med cybersikkerhed, så virksomheder kan handle i tide uanset, om man bliver direkte påvirket eller ej", uddyber Berit Aadal, chefkonsulent i Dansk Standard.

Selvom nogle SMV’er måske ikke er direkte omfattet af lovgivningen, kan de stadig blive mødt af krav fra deres kunder og samarbejdspartnere. Den nye guide giver SMV’er:

• Overblik over lovkravene og deres relevans.
• Værktøjer til at komme i gang med arbejdet og inspiration til at udvikle en cybersikkerhedsstrategi.
• Praktiske eksempler gennem tre fiktive virksomheder, der viser, hvordan kravene kan håndteres.
  
  

Guiden er frit tilgængelig og kan også bruges af større virksomheder, der ønsker et hurtigt overblik over reglerne. Udover NIS2 og Cyber Resilience Act giver guiden også en introduktion til relevante standarder og CE-mærkning.