Snart kan du som leder straffes, hvis virksomheden ikke er tilstrækkeligt beskyttet mod cyberangreb

Der er særligt én ting, du som leder skal være opmærksom på i forbindelse med det kommende NIS2-direktiv: Du kan blive idømt bøde og bortvisning, hvis din virksomhed ikke lever op til direktivets omfattende krav. I denne artikel kan du se eller gense vores webinar om, hvordan du som leder sikrer, at din virksomhed overholder reglerne

Log ind og se eller gense webinaret om ledelsesansvar nederst på denne side

Fra oktober 2024 skal en lang række danske virksomheder leve op til det nye NIS2-direktiv, der skal sikre virksomhederne bedre mod cybertruslen.  

”Oktober 2024? Så har vi da god tid,” tænker du måske som leder, men det vil desværre være en fejl. 

Det forklarer Nikolaj Juncher Wædegaard, branchedirektør i Dansk Erhverv: 

”Det nye direktiv er ganske omfattende, og der er rigtig mange ting, som virksomhederne skal forholde sig til og nå at implementere. Så det er en god idé at komme i gang med arbejdet nu.” 

En anden vigtig årsag til at kaste sig over arbejdet nu er, at der vanker alvorlige sanktioner for både virksomheder og ledere, hvis virksomhederne ikke lever op til reglerne. 

”Virksomhederne risikerer bøder, hvis de ikke overholder reglerne, og i værste fald kan det for den øverste ledelse betyde bortvisning. Værktøjskassen med sanktioner er med andre ord noget mere hårdtslående end tidligere.  

Men cybertruslen er også stigende og trusselsbilledet er stadigt mere komplekst. Så der er mange gode grunde til at komme i gang med at opruste på sikkerhedssiden” 

Kom godt i gang med arbejdet
Heldigvis er der hjælp at hente. Her får du fem gode råd til, hvordan du kommer godt i gang med arbejdet. 

1. Beslut hvor i organisationen og hos hvem arbejdet med NIS2 skal forankres. Mange af de tiltag, der skal implementeres, vedrører risikovurdering, sikkerhedsforanstaltninger m.v., så et naturligt sted er hos IT-sikkerhedschefen. 
2. Stil krav om at de tiltag, der følger af NIS2, og som bliver tydeliggjort i takt med at myndighederne får skrevet vejledninger på området, bliver indarbejdet i organisationens eksisterende sikkerheds- og governance framework, så der ikke laves dobbeltarbejde, og så tiltagene hænger sammen. 
3. Der skal tildeles ressourcer til arbejdet. Sørg for at nøglemedarbejdere har eller får de rette kompetencer og får de ressourcer, som skal bruges for at sikre compliance. De foranstaltninger, der skal implementeres som følge af NIS2, gavner hele organisationens sikkerhed – også set fra aktionærernes perspektiv. Sørg også for passende awareness i hele organisationen. 
4. Få en beslutningsproces på plads, så det på øverste niveau besluttes, hvilke konkrete tiltag, der skal iværksættes i hvilken rækkefølge. Beslutningsprocessen skal også bruges til at konkludere, hvis nogle af de tiltag, som indstilles fra den NIS2-ansvarlige, ikke prioriteres, og ledelsen dermed accepterer en compliancerisiko. 
5. Foretag løbende audit som sikrer, at organisationen efterlever de foranstaltninger, som iværksættes og dermed sikrer, at foranstaltningerne har den effekt, som forventes. Sørg for mindst årligt at få rapporteret fremskridt til topledelsen.

Video: Log ind og se eller gense vores webinar, hvor Bestyrelsesforeningen, Dubex og Gorrissen Federspiel giver indsigt i og perspektiver på bestyrelsens og ledelsens opgaver og ansvar for cybersikkerhed, NIS2-direktivets artikel 21 og det trusselsbillede, som topledelser står overfor i dag.