IT-sikkerheden skal i vejret, men national strategi mangler stadig
Danmark skal sikres mod cyberangreb fra ondsindede aktører, men mangel på kvalificeret personale og en overordnet plan skaber problemer
I hele EU er der fokus på cybersikkerhed, frygten for hybride angreb på kritisk infrastruktur har ført nye tiltag med sig. Danmark har for nyligt implementeret vores udgave af NIS 2-loven, et tiltag som startede i Bruxelles. Den stiller større krav til virksomheder og deres digitale færden. Set i lyset af dette kan det virke mærkeligt, at en ny national strategi for cyber- og informationssikkerhed stadig mangler. Den skulle være kommet i 2024, men er stadig ingen steder at finde.
Strategien lader vente på sig
Det undrer Sten Skov Lehnert, som er en af landets førende eksperter indenfor IT-sikkerhed. Normalvis udkommer staten med den nationale strategi for cyber- og informationssikkerhed hvert tredje år. Den fungerer som en rettesnor for, hvad staten prioriterer indenfor IT-sikkerhed.
“Alle os i branchen venter i spænding på den næste strategi,” siger Sten Skov Lehnert.
Tidligere har NIS 1 været en del af den nationale strategi for cyber- og informationssikkerhed, men NIS 2 er af uforklarlige årsager ikke en del af den nuværende strategi for cyber- og informationssikkerhed. Ifølge Sten Skov Lehnert er det problematisk, fordi den nationale strategi handler om, hvordan vi som nation organiserer vores cybersikkerhed. Her er NIS 2-loven virkelig væsentlig, da den kommer med nye krav til virksomheder og offentlige myndigheders foranstaltninger af IT-sikkerhed.
Personale søges
Den nationale strategi skal klarlægge fokusområderne, men for at få det ført ud i livet kræver det kvalificeret arbejdskraft. Og mængden af IT kompetente folk lever ikke op til efterspørgslen.
Joen Magierez chefkonsulent for digitalisering og teknologi ved Dansk Erhverv ser et klart problem: “Vi har ikke nok cyberkompetencer til virksomhederne. Vi har et kompetencegab”.
Ifølge tal fra IT-branchen mangler der akut 7000 IT-folk i Danmark, og det tal står kun til at stige. Tallet skyldes til dels, at der er blevet lagt loft på, hvor mange uddannelserne må optage.
Danmark står overfor den strukturelle udfordring, at de nuværende og kommende ungdomsgenerationer er relativt små. Ifølge fremskrivninger fra Danmarks Statistik vil antallet af 15-18-årige blive reduceret med ti procent eller mere i omkring halvdelen af danske kommuner i år 2035.
De største virksomheder har ressourcerne til at hyre folk med de rette IT-kompetencer. Men de små- og mellemstore virksomheder længere nede i fødekæden mangler de økonomiske muskler til at prioritere ansættelse af dygtige fagfolk.
Ansvaret følger producenten
Ifølge IT-Branchens seneste tal oplever over 70 pct. af danske it-virksomheder, at manglen på kvalificerede medarbejdere hæmmer væksten. Hver anden virksomhed har måttet opgive at besætte stillinger, fordi der simpelthen ikke er nok ansøgere med de rette kompetencer.
En af konsekvenserne ved manglende IT-folk er, at det bliver sværere for virksomhederne at overholde lovgivning om cybersikkerhed. Et godt eksempel er Cyber Resilience Act, som er en EU-lov, der træder i kraft i 2027. Loven handler om at sikre, at digitale produkter er designet og vedligeholdt med et højt niveau af sikkerhed – og at producenter tager ansvar for det.
Formålet med loven er at beskytte brugere mod produkter med svag sikkerhed og gøre producenter ansvarlige for cybersikkerheden i hele produktets levetid. Derudover skal loven være med til at sikre ensartede regler i hele EU, så virksomheder ved, hvad der gælder. På den måde flugter Cyber Resilience Act godt med Kommissionens mission om mindre bureaukrati og bedre konkurrencevilkår for virksomhederne.
