Nye tal viser, at SMV’er mangler beredskabsplaner, der dækker cybersikkerhed og eksterne forpligtelser, samtidig med at de vil opleve skærpede krav fra store samarbejdspartnere. Cybersikkerhed er ikke længere et tilvalg, men et konkurrenceparameter. Det mener Erhvervshus Midtjylland.
Små og mellemstore virksomheder risikerer, at den nye NIS2-lovgivning kommer som et chok.
Nye tal blandt 134 virksomheder, der har været igennem erhvervshusenes cybersikkerhedstjek, viser nemlig, at 57 procent af virksomhederne ikke har beredskabsplaner, der dækker cybersikkerhed og eksterne forpligtelser.
Det kommer frem, samtidig med at NIS2-lovgivningen er trådt i kraft og stiller skærpede krav til store virksomheder, som kan være nødt til at sikre, at deres leverandører også lever op til kravene. De små og mellemstore virksomheder bliver indirekte omfattet af NIS2-kravene – helt eller delvist.
-Når så mange virksomheder mangler et grundlæggende beredskab, viser det tydeligt, at vi som samfund har en opgave foran os. Cybersikkerhed er ikke længere et tilvalg. Det bliver et decideret konkurrenceparameter. Succeskriteriet er, at virksomhederne får et passende sikkerhedsniveau, der matcher kundekrav, lovgivning, og sikrer virksomhederne og deres værdikæde mod de reelle trusler. Det er dog klart, at hovednøglen til den enkelte virksomhed selvfølgelig ikke skal lægges under dørmåtten, fortæller Dorte Damgaard Hansen, projektleder for Styrket Cybersikkerhed for SMV’er hos Erhvervshus Midtjylland.
For de små og mellemstore virksomheder kan konsekvensen være, at de mister kunder. Ikke på grund af bøder, men fordi de ikke kan dokumentere, at de lever op til kravene i leverandørkæden.
-Det bliver kun tydeligere med den nye lovgivning, som efterlader tvivl og forvirring hos mange virksomheder. SMV’erne har derfor brug for en håndsrækning til at blive klædt på, så de kan tage dialogen med deres samarbejdspartnere og kontinuerligt forbedre deres sikkerhed og compliancekravene, som følger i kølvandet på NIS2, så de kan fastholde deres kunder, siger hun videre.
Overskygges af den daglige drift
NIS2-lovgivningen skal bidrage til, at virksomheder i højere grad prioriterer cybersikkerhed.
Tallene fra cybersikkerhedstjekket viser dog, at 66 procent af de adspurgte virksomheder mangler cybersikkerhed i deres leverandørstyring, og at 57 procent ikke har cybersikkerhed som fast punkt på direktions- eller bestyrelsesmøder. Dertil kommer, at 46 procent bekræfter, at de har kunder, som bliver direkte omfattet af NIS2-lovgivningen.
-Den daglige drift i virksomhederne ender med at skubbe cybersikkerhed i baggrunden. Men vi må huske, at det kan true hele værdikæden, når små og mellemstore virksomheder ikke lever op til kravene fra de store kunder. Det svækker i sidste ende også deres konkurrenceevne. Når den svækkes, står det i vejen for de vækstambitioner, vi har for dansk erhvervsliv, supplerer Malene Stidsen, programchef for cybersikkerhed i Industriens Fond, som har støttet projektet.
Selvom reglerne er svære at forstå og har gjort SMV’erne forvirrede, oplever fonden sammen med erhvervshusene en bevægelse mod, at virksomhederne begynder at række ud for at blive klogere på cybersikkerhed, herunder den nye lovgivning. Det mindsker dog ikke behovet for at hjælpe virksomheder med at navigere i cybersikkerhedstilbud og få konkrete anbefalinger til at arbejde struktureret med cybersikkerhed.
-Hvis vores virksomheder skal være konkurrencedygtige i fremtiden, skal cybersikkerhed være en naturlig del af driften. Vi skal derfor være opmærksomme på at støtte indsatser, der gør det lettere for SMV’erne at forstå kravene og handle på dem, fortsætter Malene Stidsen.
Projektet Styrket Cybersikkerhed for SMV’er er et landsdækkende samarbejde mellem fem af landets erhvervshuse. Ud over Industriens Fond samarbejder projektet med andre aktører, heriblandt Security Tech Space (STS) og D-mærket. Projektet tilbyder et gratis cybersikkerhedstjek og henvender sig til SMV-segmentet særligt inden for produktion, håndværk og transport.
Fakta om NIS2
• NIS2 er et EU-direktiv, der skal styrke cybersikkerheden på tværs af Europa. Cybersikkerhed er dermed ikke længere kun et internt it-anliggende for den enkelte virksomhed, men et fælles samfundsansvar
• NIS2 gælder for kritiske sektorer inden for energi, sundhed, transport og digital infrastruktur. Med den danske erhvervssammensætning, hvor mange små og mellemstore virksomheder er underleverandører til større aktører, vil også mindre virksomheder mærke kravene fra de kunder, der er direkte omfattet af NIS2.
