En ny rapport fra SDU (læs rapporten her) tegner et tydeligt billede: danske produktions-SMV’er er digitalt modne, men sikkerheden halter efter. Ikke fordi viljen mangler, men fordi indsatsen ofte mangler struktur, overblik og forankring.
Det er i sig selv ikke overraskende. Det interessante er, hvad det betyder i praksis, særligt i lyset af NIS2.
Bevidstheden er steget, men det er ikke nok
Flere virksomheder anerkender i dag, at cybersikkerhed er en reel forretningsrisiko. Det er et vigtigt skridt og et klart skifte fra tidligere, hvor sikkerhed ofte blev betragtet som et rent teknisk anliggende.
I dag ved ledelsen godt, at et cyberangreb kan påvirke både drift, økonomi og omdømme. Det betyder også, at sikkerhed i højere grad kommer på agendaen.
Men bevidsthed i sig selv skaber ikke sikkerhed.
Udfordringen opstår, når erkendelsen ikke bliver omsat til en helstøbt indsats. I praksis ser vi ofte, at virksomheder reagerer på konkrete hændelser eller bekymringer. For eksempel ved at implementere et nyt værktøj, stramme adgangsstyring eller indføre backup.
Når indsatsen ikke er forankret i risikostyring prioritering og dokumentation, bliver sikkerhed let en række enkeltstående initiativer frem for en sammenhængende tilgang.
Det betyder, at der stadig kan være væsentlige blinde vinkler:
- Kritiske risici overfor kritiske systemer bliver ikke identificeret
- Indsatser prioriteres ikke efter reel betydning
- Der mangler overblik over, hvad der faktisk er dækket
Resultatet er, at man kan have gjort meget, uden at vide om det vigtigste er dækket.
Det er netop her, forskellen opstår i forhold til NIS2. Det handler ikke om, hvor meget man gør, men om indsatsen er risikobaseret, systematisk og kan dokumenteres.
Det rejser et centralt spørgsmål:
Hvis bevidstheden er til stede; hvorfor halter sikkerhedsniveauet så stadig?
Svaret ligger ikke i manglende vilje, men i måden indsatsen bliver grebet an på.
Når sikkerhedsarbejdet ikke er samlet og struktureret, opstår der nogle gennemgående udfordringer. Det er ikke enkeltstående fejl, men mønstre, der ses på tværs af mange SMV’er.
Og det er netop de mønstre, rapporten tydeligt peger på. Iblandt mønstrene ser vi:
Fragmenteret sikkerhed
Tekniske løsninger er implementeret, men der mangler sammenhæng mellem risikovurderinger, kontroller og dokumentation. Det gør det svært at vurdere det reelle sikkerhedsniveau.
Manglende dokumentation og overblik
Virksomhederne mangler et samlet billede af kritiske aktiver, risici og eksisterende tiltag. Det betyder, at sikkerheden kan være fornuftig i praksis, men uden at kunne dokumenteres.
Manglende forankring i ledelsen
Sikkerhed ligger ofte hos IT eller eksterne leverandører. Men NIS2 kræver, at ledelsen forstår risici, træffer beslutninger og tager ansvar.
Utilstrækkeligt beredskab
Forebyggelse er prioriteret, men håndtering halter. Mange mangler klare planer for, hvad der skal ske ved en hændelse og hvem der gør hvad.
I praksis betyder det, at værdifuld tid går tabt, når en hændelse opstår. Beslutninger bliver taget under pres uden en fælles retning. Det øger både konsekvenserne af hændelsen og usikkerheden internt.
Det er her, et beredskab gør en konkret forskel.
En beredskabsplan handler ikke om at forudsige alt, men om at skabe klarhed, når noget uventet sker.
Når beredskabet er på plads, bliver håndteringen mere rolig, hurtigere og mere ensartet. Det giver bedre kontrol i situationen og et bedre grundlag for at lære af det bagefter.
Samtidig er det afgørende i forhold til NIS2. Her stilles der krav til både håndtering og rapportering inden for korte tidsfrister.
Derfor er beredskab ikke bare et supplement til forebyggelse. Det er en central del af en moden og dokumenterbar sikkerhedsindsats.
Det samlede billede
Når man samler trådene, tegner der sig et klart mønster:
Danske SMV’er gør mange af de rigtige ting, men ikke et overblik, der binder indsatsen sammen på tværs.
Det betyder, at sikkerhedsarbejdet ofte udvikler sig i takt med behov og hændelser. Man reagerer, når noget opstår, og implementerer løsninger løbende. Isoleret set giver det mening. Men over tid skaber det en indsats, der er svær at gennemskue. Også internt.
Konsekvensen er, at indsatsen ikke lever op til krav som NIS2
Det gør det samtidigt vanskeligt for ledelsen at træffe informerede beslutninger. Uden et samlet overblik bliver prioritering baseret på mavefornemmelser frem for risici.
Med andre ord: Problemet er ikke mangel på initiativer. Det er mangel på sammenhæng.
Og det er netop den sammenhæng, NIS2 efterspørger. Ikke flere enkeltstående tiltag, men en risikobaseret og dokumenterbar tilgang til cybersikkerhed.
Hvordan bør man gribe det an herfra?
Hvis man skal lykkes med NIS2, handler det ikke om at gøre mere, men om at gøre det rigtige i den rigtige rækkefølge.
Først og fremmest skal man skabe et samlet overblik. Man skal vide, hvilke kritiske processer der drives af hvilke kritiske aktiver og hvilke risici disse er udsat for. Det samme gør sig gældende for hvilke kontroller man allerede arbejder med, og hvor hullerne er. Uden det overblik bliver alle efterfølgende tiltag tilfældige.
Dernæst skal cybersikkerhed forankres i ledelsen som en forretningsrisiko. Det ændrer både prioritering og beslutningskraft.
Herefter handler det om at opbygge dokumentation som en naturlig del af arbejdet. Ikke som et projekt, der laves én gang, men løbende, så det afspejler virkeligheden.
Samtidig bør man sikre et praktisk beredskab. Det behøver ikke være komplekst, men det skal være klar, når det gælder.
Endelig skal man løfte organisationen. Teknologi kan ikke stå alene. Medarbejdere skal forstå deres rolle i sikkerheden, ellers opstår der hurtigt nye sårbarheder.
Hvordan kan vi hjælpe hos GapSolutions?
Mange virksomheder oplever, at arbejdet med cybersikkerhed starter som gode intentioner og enkeltstående initiativer, men bliver svært at holde struktureret i en travl hverdag.
Dokumentation bliver spredt. Prioriteringer bliver uklare. Og når der opstår kundekrav, audits eller nye regulativer som NIS2, ender det ofte i brandslukning frem for en kontrolleret indsats.
Hos GapSolutions hjælper vi jer med at skabe overblik, reducere risiko og sikre en stabil fremdrift i jeres arbejde med compliance og informationssikkerhed.
Vi kombinerer vores platform, GapPortalen, med praktisk rådgivning. Det betyder, at jeres arbejde ikke blot bliver etableret, men også drevet videre og forankret i organisationen.
Vi hjælper med at:
- samle dokumentation og opgaver ét sted
- skabe overblik over risici og kontroller
- håndtere krav fra kunder, samarbejdspartnere og myndigheder
- prioritere de indsatser, der reelt reducerer jeres risiko
- sikre, at jeres sikkerhedsarbejde kan driftes stabilt
Vores tilgang er enkel: Vi gør compliance praktisk anvendeligt.
Det betyder, at I ikke står med en teoretisk løsning, men med en struktur, der fungerer i hverdagen, også når kravene ændrer sig, eller organisationen udvikler sig.
Vil I have et klart billede af, hvor I står i forhold til NIS2 og hvad næste skridt bør være?
Så tager vi gerne en uforpligtende gennemgang og viser jer, hvordan I kan skabe overblik og fremdrift i praksis.
