Det kan blive dyrt for din virksomhed, hvis der ikke er styr på virksomhedens informationssikkerhed, når NIS2-direktivet træder i kraft 1. juli 2025. Direktivet opererer med markant forhøjede bødeniveauer på op til 4% af omsætningen, personlige bøder og hårde sanktioner til ledelsen, hvis de nye krav ikke tages alvorligt. Det er en kompleks opgave at leve op til kravene i direktivet. Det kræver både tilpasning i implementeringen af forandringer, justering af driftsrutiner samt erfaring med cybersikkerhed. Virksomheden skal grundlæggende vænne sig til, at cybersikkerhed fremadrettet skal indgå som del af ledelsesarbejdet og medarbejdernes dagligdag.
NIS2 = ledelsessystem
Fundamentet for en systematisk efterlevelse af NIS2-direktivet er et effektivt ledelsessystem, der løbende sikrer overblikket over, hvordan informationssikkerhed håndteres. Hertil hvilke trusler, sårbarheder og risici, der knytter sig til den voksende cyberkriminalitet.
Ovenpå dette fundament skal virksomheden tilpasse sin informationssikkerhedspolitik og implementere de nødvendige foranstaltninger i organisationen. Hertil skal virksomheden tilvænne at udarbejde løbende risikovurderinger og at arbejde professionelt med beskyttelse af informationsaktiver.
Compliance er ikke et projekt, som slutter i juli 2025. Det er afgørende, at projektet leverer et ”system” bestående af politikker, processer og forskellig dokumentation, der kan leve i organisationen – også efter juli 2025. For de fleste virksomheder kræver det et stærkt fokus på forandringsledelse. Udover forandringsledelse bygger vores model på ’best practice’ fra sikkerhedsstandarderne ISO 27001, NIST, CIS 18-kontroller og den danske D-mærkning.
