Mens blot omkring 150 danske virksomheder er omfattet af NIS1-direktivet, vil det nye NIS2-direktiv, der igen skærper kravene til virksomhedernes cybersikkerhed, få betydning for langt flere – og også mange mindre virksomheder.
Det viser den første omfattende kortlægning af NIS2-direktivets konsekvenser for danske virksomheder, som Industriens Fond står bag.
Hele 36 procent af de omfattede virksomheder lever ikke op til de størrelsesrelaterede minimumskrav i direktivet, men er alligevel omfattet qua deres kritiske rolle for offentligheden eller folkesundheden.
"Vores kortlægning viser, at NIS2 vil ramme rigtig bredt, og at direktivet har direkte kurs mod over 1000 danske virksomheder. Det er rigtig mange, der nu skal forberede sig på markant skærpede krav til it-sikkerheden," siger Malene Stidsen, der er programchef for Industriens Fonds Cyberprogram.
Kortlægningen, der er valideret af en bred følgegruppe bestående af centrale myndigheder og brancheorganisationer, viser, at NIS2 vil ramme bredt i dansk erhvervsliv, når det er fuldt implementeret i slutningen af 2024.
Det er især virksomheder inden for digital infrastruktur, energi og fremstillingsindustrien, der bliver omfattet. Tilsammen repræsenterer disse tre sektorer over halvdelen af de virksomheder, der står til at blive omfattet.
Behov for dansk implementeringsmodel snart
"Som det ligger nu, betyder det, at mange mindre virksomheder – og principielt også deres underleverandører - skal til at se sig selv som samfundskritiske og dermed indstille drift og udvikling herefter. Derfor er det også vigtigt, at de danske myndigheder meget snart lægger sig fast på, hvordan direktivet skal implementeres i Danmark," siger Malene Stidsen og fortsætter:
"Vi har nu sat gang i næste fase, der skal give overblik over de berørte virksomheders styrker og svagheder ift. at leve op til kravene i NIS2. Ved at sætte fokus på dette vil vi bistå danske virksomheder med at komme på forkant med udviklingen – og dermed høste de konkurrencefordele, der ligger i at leve op til de digitale sikkerhedskrav fra myndighederne – men også voksende krav fra kunder og samarbejdspartnere," siger Malene Stidsen.
Om kortlægningen
Industriens Fond står bag kortlægningen, der er fortaget af IRIS Group.
Kortlægningen bygger på viden, somerberiget og valideret af en bred følgegruppe bestående af centrale myndigheder og brancheorganisationer.
Kortlægningen tager udgangspunkt i beskrivelser og definitioner i direktivet samt vurderinger blandt følgegruppemedlemmerne.
Overordnet set vil NIS2-direktivet dække 18 sektorer, hvoraf en del af sektorerne indeholder en række delsektorer. Nogle af disse sektorer er ikke taget med i kortlægningen. Fx er finansielle markedsinfrastrukturer ikke taget med, da EU's DORA-direktiv vil stille endnu højere krav end NIS2 til disse virksomheder inden for samme tidshorisont.
