NIS2 fylder mere og mere i danske virksomheder. Også i SMV’er er der voksende fokus på informationssikkerhed, compliance og dokumentation.
Mange ved godt, at de skal i gang. De har deltaget i webinarer, læst vejledninger og hørt budskabet mange gange: I skal være compliant, I skal styrke jeres informationssikkerhed, og I skal kunne dokumentere, at I har styr på jeres kritiske drift.
Men når hverdagen rammer, ender mange det samme sted:
Hvor starter vi egentlig uden at gøre det her til et kæmpe projekt, der drukner organisationen?
Tre ting SMV’er typisk gør og hvorfor det ikke bringer dem langt nok
Når presset omkring NIS2 bliver stort nok, begynder de fleste virksomheder at handle. Det ser ofte sådan ud:
- De udpeger en ansvarlig – som regel en, der allerede har rigeligt at se til
- De køber et værktøj – fordi det signalerer, at man tager området seriøst
- De begynder at producere dokumentation – fordi det ligner compliance
Problemet er, at ingen af de tre ting i sig selv gør virksomheden mere sikker. Og de gør jer heller ikke nødvendigvis mere compliant.
De skaber aktivitet. Men aktivitet er ikke det samme som fremdrift.
Og det er præcis her, mange går galt i byen: Der bliver sat noget i gang, men uden en klar prioritering af, hvad der faktisk er kritisk for forretningen, og hvad der reelt reducerer risiko.
NIS2 handler ikke om papir, men derimod om drift
NIS2 handler i praksis om, hvorvidt jeres virksomhed kan opretholde driften, når noget går galt.
Det rejser nogle helt konkrete spørgsmål:
- Hvilke processer og aktiver er kritiske for jeres forretning?
- Hvad er konsekvensen, hvis de bliver ramt?
- Hvem gør hvad og hvornår, hvis driften bliver forstyrret?
Det er ikke spørgsmål, man kan svare på med en standardpolitik eller et værktøj alene.
De kræver indsigt i virksomheden, i jeres afhængigheder og i den virkelighed, I faktisk driver forretning i.
Virkeligheden for en CEO eller ansvarlig i en mellemstor virksomhed
Hvis du sidder i ledelsen, eller har fået ansvaret for complianceområdet, så er informationssikkerhed sjældent det eneste, du har på bordet.
Der skal leveres til kunder. Produktionen skal køre. Medarbejderne skal trives. Samtidig vokser kravene fra myndigheder, kunder og samarbejdspartnere.
Informationssikkerhed er for de færreste en fuldtidsfunktion. Men det forventes stadig, at der er styr på det.
Det betyder, at mange virksomheder ender med at bruge tid og penge på initiativer, som ser rigtige ud på overfladen, men som ikke bringer dem tættere på det, der faktisk tæller:
- Reelt reduceret risiko
- Dokumenterbar compliance, så myndigheder og kunder kan være tilfredse
- En organisation, der ved, hvad den skal gøre, når noget rammer
En pragmatisk tilgang til NIS2 – uden at drukne i det
I GapSolutions hjælper vi SMV’er og organisationer med at omsætte NIS2 og informationssikkerhedskrav til noget, der kan fungere i praksis.
Ikke med lange rapporter og generiske anbefalinger, men med hjælp til at få styr på det, der faktisk betyder noget:
- Kortlægning af kritiske aktiver og processer
- Identifikation af væsentlige risici
- Afklaring af roller, ansvar og ledelsesforankring
- Vurdering af beredskab og kontinuitet
- Prioritering af de næste konkrete tiltag
Vores fokus er enkelt: At hjælpe jer med at gøre det rigtige først, i den rigtige rækkefølge og på en måde, der passer til jeres forretning.
For informationssikkerhed er ikke et dokumentationsprojekt, der skal overstås. Det er en kapabilitet, der skal bygges op, så virksomheden kan stå stærkere både i forhold til krav, drift og reelle hændelser.
Og det er netop dér, vi hjælper jer.
