Af NATASHA FRIIS SAXBERG, NIKOLAJ JUNCHER WÆDEGAARD, OG JOHN HENRIKSEN
Hhv. adm. direktør hos IT-Branchen, chef for Digital, Tele, Medier & Strategi hos Dansk Erhverv og CEO hos TDC Erhverv
Danmark er et digitalt forgangsland. Det er i hvert fald den historie, vi med stolthed i stemmen fortæller. Og ifølge det europæiske DESI-Index (Digital Economy and Society Index), der måler de europæiske landes overordnede digitale performance og konkurrencekraft, er Danmark placeret i toppen – så længe det varer. Vi er nemlig faldet nedad på listen. Og det er tid til at komme tilbage på sporet, hvis Danmark skal være konkurrencedygtig i fremtidens digitale økonomi og samfund.
Men den digitale transformation kommer ikke uden bekymringer, og aldrig har bekymringerne været større, end vi lige nu oplever i 2023. Faktisk kan vores digitale eventyr hurtigt ende som et mareridt. For mens vi indtager en topplacering som et af de mest digitaliserede lande, er vi henkastet til en global 32. plads, når det kommer til cybersikkerhed – bag nationer som Kasakhstan, Vietnam og Mauritius. Noget kunne derfor tyde på, at vi har glemt, at sikkerheden skal følge med. Den glemsel gør os til én af de mest udsatte digitale nationer i verden, hvor digitalisering bliver afgørende for at skabe fremtidens job.
Vi skal melde os ind i kampen igen og erkende at digitalisering også er blevet sikkerhedspolitik, ligesom vi skal erkende, at det kræver nye samarbejdsformer mellem det offentlige og private.
Et nationalt problem
Hvis vi dykker ned i, hvor slemt det rent faktisk står til, kan vi begynde med Erhvervsstyrelsens analyse af digital sikkerhed i danske små og mellemstore virksomheder. Den viser, at en fjerdedel af de SMV’erne ikke anvender de mest basale it-sikkerhedsforanstaltninger. Det er flere end 125.000 virksomheder, der ikke har styr på deres basale IT-sikkerhed.
Men er det overhovedet nødvendigt at sikre sig digitalt?
Det korte svar er ja. PwC Cyber Crime Survey fra 2022 viser, at 51 pct. af virksomheder har været ramt af mindst en cyberhændelse indenfor det seneste år. Ifølge Danmarks Statistiks årlige rapport ”It i virksomheder 2022” har 26 pct. alle danske virksomheder oplevet brud på it-sikkerheden. Det er en stigning på langt over 100 pct. sammenlignet med 2020.
Retter vi blikket mod danske virksomheder med over 250 ansatte, forværres billedet yderligere. Her har 55 pct. oplevet brud på it-sikkerheden - hvilket kan være en umådelig dyr affære. De fleste husker måske cyberangrebene på Mærsk, der kostede virksomheden i omegnen af 1,3 mia. kr. Cyberangreb er dyre. Men til trods for at alle alarmklokker burde ringe, virker det til, at vi som nation har valgt at vende det døve øre til.
EU-krav tvinger til rettidig omhu
Det er dog slut med at ignorere den manglende digitale beskyttelse. Nye EU-regler stiller krav til implementeringen af omfattende sikkerhedsforanstaltninger, som skal forebygge og minimere konsekvenserne ved cyberangreb. En måde at tvinge virksomhederne til at få styr på deres compliance, før det er for sent. Det nye EU-direktiv har navnet NIS2 (Net- og Informationssikkerhedsdirektivet), og er det mest omfattende og krævende af sin slags til dato. I omegnen af 1.100 danske virksomheder forventes at blive direkte omfattet. Det er virksomheder som lufthavne, hospitaler, detailhandelen og andre institutioner, der kan kategoriseres som kritisk infrastruktur.
I Dansk Erhverv, IT-Branchen og TDC Erhverv byder vi NIS2 velkommen. Det er nødvendigt, at der bliver sat ambitiøse krav til cybersikkerhed. Det er på tide, at vi tager højde for det øgede trusselsbillede. Ruslands invasion af Ukraine er en klokkeklar påmindelse om, at vi er nødt til at beskytte vores kritiske infrastruktur. Og i 2023 er den i høj grad digital. Det er både for risikabelt og for dyrt ikke at tage højde for det. Men hvad betyder det i praksis, og hvordan kommer de nye regler til at påvirke os. Blot for at give et par eksempler:
1: Kræver massive investeringer
Ifølge EU skal de virksomheder, som er omfattet af NIS2, forvente at øge deres it-investeringer betragteligt. Det kommer til at være en krævende proces, hvor der både skal afsættes tid og penge. De nye krav kan give stor værdi i danske virksomheder ved at løfte sikkerhedsniveauet og gøre virksomhederne mere modstandsdygtige overfor cyberangreb, men det har sin pris. Få virksomheder ved i dag, hvor meget de egentlig investerer i cybersikkerhed, men for langt de fleste vil der skulle investeres langt flere penge. Det kan være en god anledning til at få et overblik over, hvor meget man som virksomhed i dag bruger på området.
2: Påvirker hele værdikæden
Hvad mange ikke er opmærksomme på, er, at NIS2 ikke kun kommer til at påvirke de 1.089 virksomheder, der betegnes som kritisk infrastruktur. De godt 1.100 virksomheder skal også leve op til en række skærpede krav om cybersikring af deres værdikæder. NIS2 får altså vidtrækkende konsekvenser og ikke kun på makroniveau.
3: Stiller ledelsen til ansvar
Ledere bliver fremover også stillet personligt til ansvar. Det betyder, at myndighederne kan forbyde chefer at have en ledelsesfunktion, hvis det vurderes, at de ikke er i stand overholde de nye krav.
4: Afklaring fra myndighederne
Det måske vigtigste skridt bliver, at de danske myndigheder skal afklare, hvem der i sidste ende er omfattet. Det ved vi med andre ord ikke definitivt. Og det kan ikke vente for længe. Virksomhederne er utålmodige og savner klar besked. For med en implementeringsfrist den 17. oktober 2024 har de travlt. En optimistisk vurdering er, at det for flere virksomheder vil tage et sted mellem 6 og 12 måneder, da der både skal tages højde for tid, økonomi og menneskelige ressourcer. Vi er derfor i dialog med myndighederne, så vi hurtigst muligt får orienteret alle berørte virksomheder og sat turbo på forberedelserne hos de virksomheder, der på sin vis er frontlinjen – og i hvert fald er i skudlinjen – i den nye sikkerhedspolitiske virkelighed.
Lad os sætte sikkerhed først
Lad os se det aktuelle trusselsbillede og NIS2 som et incitament til, at vi for alvor begynder at prioritere it-sikkerheden som hele forudsætningen for at drive virksomhed i den gennemdigitaliserede tidsalder. Samtidig viser en nylig analyse publiceret af Industriens Fond, at der er flere konkurrencefordele at opnå med en øget it-sikkerhed.
Griber vi det rigtigt an, kan det ikke bare blive en sikkerhedspolitisk nødvendighed, det kan også blive en forretningsmæssig konkurrencefordel. Her handler det bl.a. om at kunne kommunikere proaktivt om god it-sikkerhed til kunder og samarbejdspartnere. Den danske mærkningsordning for digital ansvarlighed – D-mærket – er et konkret tiltag, som giver virksomheder mulighed for at bruge digital ansvarlighed til markedsføring, og kravene i mærkningsordningen er bygget op om kravene i NIS2-direktivet, så D-mærkede virksomheder også lever op til direktivets minimumskrav.
I Dansk Erhverv, IT-Branchen og TDC Erhverv har vi ønsket at gå forrest. Derfor åbnede vi 15. marts 2023 dørene til Danmarks første cybersecurity-dag. Til Cyber Security Dagen er formålet at give danske virksomheder bedre indsigt i, hvordan de bedst muligt ruster sig i et kapløb med tiden mod cyberkriminaliteten. Samtidig lærer de om, hvordan cybersikkerhed både er en konkurrencefordel og faktisk en forudsætning for at drive virksomhed.