PwC

Nye cyber-sikkerhedskrav på vej til de store og mellemstore virksomheder

Del

En række store og mellemstore danske virksomheder kan se frem til udvidede cyber-sikkerhedskrav, når det nye NIS2-direktiv træder i kraft i starten af 2024. Det bliver en omfattende opgave og væsentligt øgede udgifter for de fleste virksomheder, der er omfattet af det nye direktiv, så det gælder om at komme i gang med forberedelserne så tidligt som muligt, lyder anbefalingen fra PwC.

Mads Nørgaard Madsen, partner og leder af Consulting - Technology & Security i PwC
Mads Nørgaard Madsen, partner og leder af Consulting - Technology & Security i PwC

Den nye lov forventes at blive en realitet i starten af 2024, hvor det såkaldte NIS2-direktiv bliver implementeret i dansk lov. Ligesom sin forgænger, NIS1, regulerer direktivet virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Den nye lov rammer en række sektorer, der ikke tidligere har været omfattet, herunder sektorerne inden for fødevarer, spildevand, affald, rumteknologi og udvalgte sektorer i fremstillingsindustrien.

“Vi anbefaler, at organisationerne kommer i gang med forberedelserne så tidligt som muligt. Organisationerne skal være opmærksomme på, at de selv har en forpligtigelse til at finde ud af, hvorvidt de er omfattet af NIS2. Der vil med andre ord ikke være nogen myndighed, der udpeger og varsler organisationerne,” understreger Mads Nørgaard Madsen, partner og leder af Consulting - Technology & Security i PwC.

Øget krav til risikostyring, kontrol og tilsyn
Den nye lov udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at danske virksomheder skal forholde sig til blandt andet øgede krav til risikostyring, kontrol og tilsyn.

“Fra starten af 2024 er virksomhederne og myndigheder forpligtet til at leve op til kravene, og derfor er det en fordel at komme i gang nu fremfor at vente, da det tidligere har vist sig, at det har været en omfattende opgave for de organisationer, der var omfattet af NIS1. Hvis virksomhederne og myndighederne har en ledelsesforankret risikoproces i forvejen, er det en klar fordel. Hvis ikke, venter en omfattende proces forude,” udtaler Mads Nørgaard Madsen. Han tilføjer, at det kan være en fordel at indføre NIS2 som en del af et nyt cyberprogram, så det bliver prioriteret og forankret det rette sted i organisationen.

Udgiftningstigning på vej
Kommissionen anslår desuden, at for de organisationer, der vil være omfattet af NIS2-direktivet, vil deres nuværende udgifter til sikkerhed øges med 22 % i de første år efter indførelsen af direktivet. Dette vil være 12 % for virksomheder og myndigheder, der allerede er omfattet af det nuværende NIS-direktiv.

“Vi ved, at det kan koste virksomhederne og myndighederne dyrt at blive klar til den nye lov. De nye regler kommer til at stille skærpede krav til risikostyring og myndighedstilsyn, og at man indberetter, når man har været udsat for en sikkerhedshændelse. Gør man ikke det, kan man potentielt se frem til bøder på samme måde som med GDPR,” understreger Mads Nørgaard Madsen.

Anbefalinger fra PwC 

  • Få foretaget en modenhedsvurdering og skab opbakning fra ledelsen

Første skridt er at få foretaget en vurdering af, hvad det vil kræve for organisationen at efterleve NIS2-kravene. Dette kaldes også en modenhedsvurdering og kan udføres af eksterne konsulenter.

Vurderingen viser, hvilke konkrete områder organisationen enten skal starte med eller arbejde videre med for at implementere kravene effektivt. Vurderingen bruges også til at få indblik i, hvilke investeringer og kompetencebehov, virksomheden har brug for at lykkes med implementeringen.

Vurderingen vil ligeledes kunne bruges til få ledelsens opbakning til arbejdet med NIS2-direktivet. Netop ledelsesopbakning er et centralt emne i direktivet, fordi ledelsen i omfattede organisationer stilles direkte til ansvar for, at kravene bliver overholdt.

  • Scope rigtigt – det er kun de driftskritiske aktiver

NIS2-direktivet søger at beskytte kritisk infrastruktur, forsyningskæder til kritisk infrastruktur og andre samfundsvigtige funktioner. Dette er en afgørende faktor i organisationers arbejde med direktivet, da det i praksis sætter rammen for, at alene driftskritiske processer, mennesker, teknologier og leverandører,  er omfattet af direktivet.

De omfattede virksomheder og myndigheder har derfor en vigtig opgave i at scope de driftskritiske aktiver.

  • Brug en international standard som styringsramme

NIS2-direktivet stiller krav til, at de omfattede organisationer implementerer et ledelsessystem for informationssikkerhed (ISMS). Internationale standarder som ISO 27001 eller NIST, IEC kan bruges som effektive styringsrammer til at få etableret et operationelt ISMS.ISO 27001 udgør samtidig et “best practice”-rammeværktøj for en holistisk og ledelsesforankret styring af cyber- og informationssikkerhed.

  • Risikovurdér aktiver og implementér formildende foranstaltninger

NIS2-direktivet stiller krav til en risikobaseret tilgang til informationssikkerhed. I praksis betyder det, at organisationen skal beskrive en risikoproces, som der skal efterleves. Det gøres ved at risikovurdere samtlige af de aktiver, som organisationen har identificeret som værende kritiske for dens samfundskritiske funktion, herunder forsyningskæder og leverandører.

Som en del af jeres risikohåndtering skal I implementere skadesforebyggende foranstaltninger, der formindsker jeres risici. 

  • Rapportér til CSIRT (Center for Cybersikkerhed)

NIS2 stiller krav til, at organisationer skal rapportere hændelser til CSIRT inden for 24 timer. Derudover skal organisationen løbende opdatere CSIRT’en med status på hændelsen og eventuelle kompromitteringer.

Hvis hændelsen vurderes at have en effekt på flere medlemsstater, vil den blive rapporteret videre igennem det europæiske cyberagentur, ENISA. Formålet med kravet til rapportering er bl.a. at øge kapabiliteten på tværs af det europæiske cyberlandskab.

  • Start forfra

Et af hovedpointerne i direktivet er, at organisationer skal implementere en risikoproces og arbejde risikobaseret. Idet cyberlandskabet ikke er en konstant størrelse, vil risikolandskab være i forandring.

For de omfattede virksomheder og myndigheder betyder det, at modensheds- og risikoprocessen skal gentages med jævne mellemrum, så risici bliver identificeret og mitigeret.

Billeder

Mads Nørgaard Madsen, partner og leder af Consulting - Technology & Security i PwC
Mads Nørgaard Madsen, partner og leder af Consulting - Technology & Security i PwC
Download

Information om PwC

PwC
PwC
Strandvejen 44
2900 Hellerup

51332378https://www.pwc.dk/

Om PwC
I PwC arbejder vi for at styrke tilliden i samfundet og være med til at løse væsentlige problemstillinger. Det gør vi med udgangspunkt i vores viden inden for revision, skat og rådgivning. Vores kunder kommer fra alle dele af erhvervslivet og den offentlige sektor, og vi er ca. 2.500 medarbejdere og partnere, som brænder for at gøre en positiv forskel for kunder og kolleger. Globalt er vi ca. 300.000 PwC'ere i 156 lande, og i Danmark er vi markedsledende. Mød os over hele landet. Vi er der, hvor du er. 

Succes skaber vi sammen … 

 

 

 

 

 

Følg pressemeddelelser fra PwC

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra PwC

Hver tredje virksomhed har oplevet målrettet cyberangreb: Nu får SMV’erne en hjælpende hånd med cyberinvesteringer16.9.2022 06:00:00 CEST | Pressemeddelelse

Hele 36 % af danske virksomheder har oplevet én eller flere sikkerhedshændelser, viser PwC’s seneste Cybercrime Survey. Uanset virksomhedens størrelse er cybertruslen reel, og derfor kan de små og mellemstore virksomheder med fordel ansøge om en ny tilskudsordning på cyberområdet og komme i gang med at forbedre deres cybersikkerhed, anbefaler PwC.

Hver tredje virksomhed har oplevet målrettet cyberangreb: Nu får SMV’erne en hjælpende hånd med cyberinvesteringer16.9.2022 06:00:00 CEST | Pressemeddelelse

Hele 36 % af danske virksomheder har oplevet én eller flere sikkerhedshændelser, viser PwC’s seneste Cybercrime Survey. Uanset virksomhedens størrelse er cybertruslen reel, og derfor kan de små og mellemstore virksomheder med fordel ansøge om en ny tilskudsordning på cyberområdet og komme i gang med at forbedre deres cybersikkerhed, anbefaler PwC.

Hver tredje virksomhed har oplevet målrettet cyberangreb: Nu får SMV’erne en hjælpende hånd med cyberinvesteringer16.9.2022 06:00:00 CEST | Pressemeddelelse

Hele 36 % af danske virksomheder har oplevet én eller flere sikkerhedshændelser, viser PwC’s seneste Cybercrime Survey. Uanset virksomhedens størrelse er cybertruslen reel, og derfor kan de små og mellemstore virksomheder med fordel ansøge om en ny tilskudsordning på cyberområdet og komme i gang med at forbedre deres cybersikkerhed, anbefaler PwC.

I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.

Besøg vores nyhedsrum