Er din forsyning klar til NIS 2?

Published: 
Med NIS 2-loven ophører cybersikkerhed med at være en post i IT-afdelingens budget til at det bliver et grundlæggende krav for forretningskontinuitet og ledelsesansvar. Med den digitale sammenkobling af kritiske infrastrukturer er fysisk forsyningssikkerhed nu uløseligt forbundet med cybersikkerhed.
 

Om denne artikelserie

BDO lancerer nu en artikelserie om NIS 2-loven med særligt fokus på forsyningssektoren. Vi klæder beslutningstagere på til at forstå og navigere i de nye regulatoriske krav, så overholdelse af lovgivningen bliver et aktiv for virksomhedens samlede modstandsdygtighed. Følg med, når vi dykker ned i emner og udfordringer, der er centrale for sektorens forsyningssikkerhed.

Hvad er NIS 2 og hvorfor er det relevant for forsyningsvirksomheder?

Den danske implementering af NIS 2 stiller markant skærpede krav til cybersikkerhed i samfundskritiske sektorer, herunder energi, vand og spildevand. Formålet er at hæve og ensarte cybersikkerhedsniveauet på tværs af EU og sikre stabil drift i de sektorer, som samfund og økonomi er afhængige af.


Virksomheder, der er omfattet af NIS 2, skal registrere sig hos myndighederne via virk.dk. Har man endnu ikke foretaget registreringen, bør dette håndteres snarest.


For mange forsyningsvirksomheder betyder NIS 2 et grundlæggende skift i tilgangen til sikkerhed. I en stadig mere digitaliseret branche er et cyberangreb ikke længere blot et IT nedbrud – det er et direkte angreb på evnen til at levere vand, varme eller energi til samfundet.

Cybersikkerhed er dermed ikke længere et projekt, men en forudsætning for at kunne opretholde leveringsforpligtelsen.


Ledelsens ansvar i fokus

 NIS 2 medfører et markant øget fokus på ledelsens rolle. Loven gør endegyldigt op med muligheden for at uddelegere ansvaret for cybersikkerhed til IT afdelingen alene. Ledelsen pålægges et direkte ansvar for at:

  • Godkende cybersikkerhedsforanstaltninger
  • Føre tilsyn med implementeringen
  • Sikre løbende opfølgning og forbedringer

Samtidig får myndighederne udvidede beføjelser til tilsyn og håndhævelse. Overholdelse af NIS 2 er derfor ikke længere en teknisk disciplin, men en ledelsesopgave på linje med økonomi, arbejdsmiljø og forsyningssikkerhed.


Kort sagt: Cybersikkerhed er blevet en forretningskritisk disciplin.


De tre strategiske søjler i NIS 2

 For at navigere i de nye krav skal ledelsen forholde sig til tre centrale områder:

  • Ledelsens ansvar: Ledelsen skal tage aktivt ejerskab og kan ikke nøjes med at godkende strategier på papir. Ansvar og governance skal være tydeligt forankret.
  • Risikobaseret tilgang: Virksomheden skal arbejde systematisk med risikovurderinger – ikke kun internt, men i hele værdikæden. Tredjepartsleverandører er ofte et kritisk sårbarhedspunkt.
  • Forretningskontinuitet: Fokus flyttes fra alene at forebygge angreb til at sikre fortsat drift under og efter et cyberangreb. Kan de kritiske forsyningsfunktioner opretholdes, hvis IT- eller OT systemer er utilgængelige?

  

Vejen frem

 De kommende artikler i serien vil dykke ned i sektorspecifikke udfordringer for energi, vand og spildevand. Fundamentet er dog fælles for alle forsyningsvirksomheder:

  • Identificer: Kend jeres kritiske aktiver og afhængigheder.
  • Beskyt: Etabler og implementer passende og proportionale foranstaltninger.
  • Reager: Hav en plan for, når (ikke hvis) noget sker.

  

3 strategiske spørgsmål ledelsen bør stille sig selv

 Er din bestyrelse og ledelse klar til at tage det strategiske ejerskab, som NIS 2 kræver? 

  1. Har vi overblik over vores mest kritiske aktiver og digitale afhængigheder, herunder leverandører
  2. Er vores beredskabsplaner testet op imod et realistisk cyberangreb?
  3. Er cybersikkerhed en integreret del af vores risikostyring?

Hvis I ønsker en uforpligtende samtale om sparring og hjælp til NIS 2 samt cyber- og informationssikkerhed, så kontakt os endelig.



Forfattere