Sikkerhedsfolk efterlyser helt klare retningslinjer og definitioner af cyberkrav til danske virksomheder

I en artikel offentliggjort på ITWatch fremhæver Sarah Aalborg, medlem af Dansk IT, og Tine Tuxen Løvstrand, næstforperson i Dansk IT’s bestyrelse, vigtigheden af klare retningslinjer og definitioner for cyberkrav til danske virksomheder. De argumenterer for, at termer som "cybersikkerhed" bør erstattes af mere forståelige udtryk som "informationssikkerhed". Ifølge Sarah og Tine er klarhed om begreber som "cyber" og "hygiejne" afgørende for virksomhedernes evne til at implementere passende sikkerhedsforanstaltninger. De peger på en betydelig mangel på håndfaste fortolkninger af cyberregler, hvilket særligt vanskeliggør mindre virksomheders evne til at opfylde kravene. Derudover understreger de behovet for en praktisk tilgang til sikkerhed samt enkelhed i kommunikationen, idet kompleksitet og uklarhed udgør hindringer for handling. 

De to it-sikkerhedseksperter foreslår konkrete mål og definitioner som et skridt mod bedre sikkerhed og anbefaler fem konkrete krav som en god begyndelse. De fremhæver også behovet for en central myndighed til at guide mindre virksomheder og foreslår en model, der sigter mod at forbedre sikkerhedspraksis på tværs af alle virksomheder.

Læs hele artiklen her (kræver abonnement til ITWatch) >

NIS2 skal være springbræt til skærpede cyberkrav

Thomas Kristmar fra Dansk IT's fagråd for informationssikkerhed fremhæver i en klumme i ITWatch vigtigheden af at styrke landets cybersikkerhed i lyset af det nuværende trusselsbillede. Han ser NIS2 som et springbræt til dette formål. Han opfordrer til, at vi udnytter det momentum, der er forbundet med NIS2, til at stramme sikkerhedsskruen yderligere ved at indføre obligatoriske krav til kritisk infrastruktur. Et eksempel på dette kunne være at fastsætte krav til, hvor lang batterikapaciteten skal være på mobilnettet i tilfælde af et nedbrud. Selvom øgede krav formentlig vil medføre øgede omkostninger for virksomhederne, mener han, at det er nødvendigt at acceptere, at it-sikkerhed ikke kun handler om effektivisering, og at det kræver en incitamentsstruktur, der fremmer investeringer i cybersikkerhed.

Thomas foreslår desuden, at offentlige indkøb bør kræve dokumentation for overholdelse af skærpede sikkerhedskrav for at understøtte udviklingen. Han understreger vigtigheden af at holde reglerne operationelle for at undgå bureaukrati og sikre, at virksomhederne har klare retningslinjer for handling. Han argumenterer for, at klare og operationelle regler vil sikre, at virksomhederne ikke blot ender med at jonglere med papirarbejde, men rent faktisk udfører konkrete sikkerhedshandlinger.

Læs hele klummen på ITWatch (kræver abonnement til ITWatch) >  

Få styr på minimumskravene i NIS2 – de rammer jer alligevel

Torben Jørgensen, sikkerhedsekspert og formand for Dansk IT’s fagråd for informationssikkerhed, adresserer i en klumme i Computerworld udskydelsen af dansk NIS2-lovgivning og opfordrer virksomheder til ikke at vente på politikerne, da NIS2-direktivet alligevel indeholder minimumskrav, der sandsynligvis bliver en del af det danske lovgrundlag. Han påpeger, at NIS2-direktivet sigter mod at forbedre cybersikkerhedsniveauet, især for virksomheder inden for kritiske sektorer som vand, energi, transport osv.

Torben advarer mod at vente og risikere at skulle implementere hele NIS2-pakken under voldsomt tidspres. Han nævner, at NIS2-lovgivningen forventes at omfatte mellem 1.000 og 1.500 danske virksomheder, og at det indebærer en radikal ændring af deres sikkerhedsniveau. Han fremhæver også fordelene ved at begynde at implementere NIS2 minimumskravene nu, herunder bedre vidensopbygning, lettere adgang til sikkerhedskonsulenter, tværfaglig forankring i organisationen og forbedret sikkerhed på kortere tid.

Fagrådsformanden fremhæver de 11 minimumskrav i NIS2-direktivet, såsom risikoanalyse, beredskabsplan, forretningskontinuitet, sikkerhed i leverandørkæden osv. Han opfordrer virksomheder til at begynde at arbejde med disse områder for at lette overholdelsen af den kommende lovgivning, da det forventes, at Danmark ikke vil vedtage en "lightudgave" af direktivet, især med de hårdere krav fastsat af EU. Han understreger betydningen af rettidig omhu for at maksimere fordelene ved NIS2-processen økonomisk, vidensmæssigt og sikkerhedsmæssigt.

Læs hele klummen her >