Med NIS2 lander ansvaret hos ledelsen. Ikke som en formalitet – men som noget, der kræver stillingtagen.
Kort fortalt: Hvad er NIS2 – og hvem gælder det for?
NIS2 er et EU-direktiv med skærpede krav til virksomheders IT-sikkerhed. Det gælder især kritiske sektorer – men i praksis stopper det ikke dér. Kravene bevæger sig ud gennem leverandørkæderne.
Så selv hvis du ikke er direkte omfattet, kan du stadig blive mødt af krav fra kunder og samarbejdspartnere om dokumentation, træning og beredskab.
“Vi har styr på det” – indtil man spørger hvordan
De fleste virksomheder har gjort noget. Firewall. Antivirus. MFA. Backup. Men det er sjældent tænkt som en samlet indsats.
Og det fungerer … lige indtil nogen spørger:
“Hvad gør vi, hvis det går galt?”
Det er her, det bliver lidt stille i mange mødelokaler.
- Hvem tager styringen?
- Hvad er vigtigst at få op først?
- Hvor lang tid kan vi være nede?
Det er ikke spørgsmål, man har lyst til at improvisere sig igennem en tirsdag morgen, mens alt blinker rødt.
Det starter sjældent med teknik
De fleste vil helst løse IT-sikkerhed med teknologi.
Det er konkret. Måleligt. Til at købe.
Men langt de fleste angreb starter med noget meget mere banalt.
En medarbejder, der klikker. Åbner en fil. Eller svarer på en mail.
Ikke fordi de er uopmærksomme – men fordi angrebene er blevet markant bedre. Mere troværdige. Mere overbevisende. Mere målrettede.
Og ærligt talt sværere at gennemskue – også for dygtige mennesker.
Derfor er teknologi alene ikke nok.
Og det er præcis derfor, NIS2 presser på for beredskab, test og opfølgning.
Træning er ikke længere “nice to have”
En af de mere konkrete ændringer i NIS2 er kravet om medarbejdertræning.
Og ja… det kan godt lyde lidt tørt.
Men medarbejdere sidder hver dag og vurderer:
“Er den her mail ægte?”
“Er det her normalt?”
“Skal jeg reagere – eller ignorere?”
Hvis de ikke er klædt på til det, er man sårbar. Derfor skal medarbejdere trænes regelmæssigt, det skal dokumenteres – og det skal være relevant.
Det handler ikke om lange kurser, men om dømmekraft i situationen.
IT-sikkerhed som konkurrenceparameter
Ja, NIS2 er et krav. Men det er også en mulighed for at vise kunder og samarbejdspartnere, at I har styr på jeres forretning – ikke bare på papiret.
Det kan godt være, at det ikke er det mest sexede konkurrenceparameter. Men det er et, der bygger tillid. Og tillid er ikke en dårlig valuta.
Hvor starter man så?
Hvis man skal skære det helt ind til benet, så handler det ikke om at gøre alt på én gang.
Det handler om at starte de rigtige steder. Ikke med at købe noget nyt. Men med overblik.
- Hvad må ikke gå ned?
- Hvad gør vi, hvis det gør?
- Ved vores medarbejdere, hvordan de skal reagere?
Hvis svaret er “måske” – så er det et ret godt sted at starte.
IT-sikkerhed skal fungere i hverdagen
NIS2 ændrer ikke kun kravene.
Den ændrer måden, vi er nødt til at tænke IT-sikkerhed på.
Fra noget teknisk… til noget forretningskritisk.
Den ændrer, hvem der ejer problemet: Fra noget, der “ligger i IT”… til noget, ledelsen skal tage ansvar for.
Og den ændrer, hvad god IT-sikkerhed egentlig er. Nemlig ikke kun noget, der “kører i baggrunden”. Men noget, der fungerer i virkeligheden Også den dag, hvor det hele ikke gør.
Vil I have en ærlig vurdering af, hvor I står i dag?
Så tag fat i os.
Vi tager udgangspunkt i jeres hverdag – ikke i en standardtjekliste.
