NIS2 er på vej, men er de danske SMV'er klar til at leve op til kravene? 

Trusselsniveauet mod danske virksomheder har aldrig været højere, fremgår det af den årlige rapport fra Center for Cybersikkerhed (CFCS), der vurderer cybersikkerhedstruslen mod Danmark. Samtidig med trusselsniveauet er på sit højeste skal CFCS spare, og det kan komme til at kunne mærkes, også hos de små og mellemstore virksomheder (SMV’er). Selvom CFCS’ ansvarsområde ligger i at beskytte virksomheder inden for kritisk infrastruktur, understreger Jens Myrup Pedersen, professor ved Aalborg Universitet og ekspert i cybersikkerhed, at SMV’er indirekte kan rammes, når NIS2-direktivet bliver implementeret i dansk lovgivning. 

SMV’er: højt trusselsniveau, lavt sikkerhedsniveau

Over en tredjedel af SMV’er har et for lavt sikkerhedsniveau set i forhold til deres risikoprofil. Det er på trods af, at mere end 37 pct. af virksomhederne har øget deres investeringer i digital sikkerhed fra 2022 til 2023. 

Niklas Winther, chefkonsulent hos SMVdanmark, peger på mangel på ressourcer som hovedårsagen:

”Hvis man er en lille virksomhed, med mindre end 10 ansatte, er det ikke givet, at man har en IT-afdeling. Det kan være svært overhovedet at navigere i, hvordan man bedst sikrer sig mod cyberangreb”.

Det er heller ikke givet, at selvom en SMV har en IT-afdeling, at de nødvendigvis har de rette kompetencer. Man kan ikke sætte lighedstegn mellem IT-kompetencer og sikkerhedskompetencer, påpeger ekspert i cybersikkerhed Sofie Freja Christensen:

”Der er mange virksomheder, der har dygtige IT-folk indenfor drift, men uden de sikkerhedsmæssige cyberkompetencer. Og det er langt fra alle SMV’er, der har råd til eksterne specialister eller rådgivning,” forklarer Sofie Freja Christensen.

I en analyse fra SikkerDigital anslås det at 9 pct. af SMV’er har oplevet en ondsindet it-sikkerhedshændelse i 2023, og dette vurderes til at være toppen af isbjerget, da der ofte af store mørketal forbundet med selvrapportering. 

Forsinkelse af NIS2-direktivet skaber usikkerhed 

EU’s direktiv NIS2, der har til formål at øge cybersikkerheden i EU-landene, trådte i kraft i oktober 2024, men i Danmark er implementeringen blevet udsat flere gange. Det er kritisabelt, mener ekspert: 

“Det er et dårligt signal at sende til de virksomheder, der på sigt skal leve op til kravene, når man bliver ved med at skubbe det. Det risikerer at udvande direktivets betydning,” forklarer Sofie Freja Christensen.

Direktivet har primært fokus på offentlige myndigheder og kritisk infrastruktur, men konsekvenserne for SMV’er kan blive markante. Jens Myrup Pedersen vurderer, at mange SMV’er undervurderer, hvor stor indflydelse direktivet kan få:

”Der er mange SMV’er, der ikke forstår, at det kommer til at påvirke dem. Hvis ikke de kan leve op til kravene, risikerer de at blive fravalgt som underleverandører”. 

Lovgivningen vil stille krav til leverandører til kritisk infrastruktur, hvilket kan tvinge SMV’er til at opruste deres cybersikkerhed. Derfor er det problematisk, at det endnu ikke står klart, hvem der ender med prædikatet “kritisk infrastruktur” og derved falder ind under den kommende lovgivning: 
 

“Det er vigtigt, at NIS2 bliver implementeret på en måde, der er til at forstå for mindre virksomheder. Det skal være nemt at gennemskue lige præcis hvad der kræves af dem, så man ikke ender i samme situation som med GDPR,” siger Nikas Winther, chefkonsulent hos SMVdanmark. 

Ekspert Sofie Freja Christensen stemmer i:

”Vi risikerer at tabe nogle SMV’er, der ikke tidligere har haft fokus på cybersikkerhed, samtidig med at nye aktører får sværere ved at etablere sig på markedet.”

NIS2 forventes implementeret i dansk lovgivning 1. juli 2025, offentliggjorde Center for Cybersikkerhed d. 18. november. 

Det brede kompetenceløft kan være afgørende 

Ifølge Jens Myrup Pedersen ligger den største udfordring for SMV’erne i at nå et tilstrækkeligt sikkerhedsniveau ikke udelukkende i tekniske løsninger, men også i manglen på kvalificerede medarbejdere:

”Det er menneskerne, der skal implementere sikkerhedsløsninger og forstå, hvordan tingene fungerer. Det er her, flaskehalsen er.”

En undersøgelse fra SMVdanmark viser, at hver sjette mellemstore virksomhed har haft vanskeligheder ved at rekruttere it-specialister, hvilket yderligere komplicerer situationen.

Grit Munk, ekspert i dataetik og digitaliseringspolitisk chef i Ingeniørforeningen (IDA) mener, at et bredt kompetenceløft er nødvendigt. For selvom uddannelse af specialister er essentielt, er det lige så vigtigt at sikre, at flere medarbejdere får grundlæggende kompetencer inden for cybersikkerhed.

”Vi har brug for nogle kurser til dem, som ikke har cybersikkerhed som deres primære arbejde. Måske kan man være i bogholderiet, men skal have noget ekstra, som netop styrker virksomhedens cybersikkerhed,” påpeger Grit Munk.

Et bredt kompetenceløft kan være en “gamechanger” for SMV’er, der ofte mangler ressourcerne til at ansætte dedikerede cybersikkerhedseksperter. Det handler om at skabe en kultur, hvor cybersikkerhed er en naturlig del af virksomhedens drift og daglige arbejde, uddyber Grit Munk.

Jens Myrup Pedersen stemmer i og påpeger også behovet for et bredt kompetenceløft blandt ansatte i både IT og ledelse:

”Vi har brug for, at flere forstår cybersikkerhed på et grundlæggende niveau, selvom de ikke er eksperter,” forklarer han.

Er det tilstrækkeligt? 

Strategien har dog sine udfordringer. Ifølge et antropologisk studie blandt 30 forskellige SMV’er, som Aalborg Universitet har gennemført for Digitalisringsstyrelsen i 2023, er en af de største barrierer i danske SMV’er, at cybersikkerhedsopgaver ofte ender hos medarbejdere, der ikke har de nødvendige kompetencer.

Rapporten viser, at beslutninger i SMV’er ofte baseres på organisatoriske behov frem for teknisk ekspertise. Cybersikkerhed bliver en ekstraopgave for medarbejdere, der sjældent har den nødvendige faglige baggrund til effektivt at håndtere komplekse sikkerhedstrusler.

Undersøgelsen viser, at et flertal af de adspurgte SMV'er mangler både de tekniske kompetencer og de ressourcer, der er nødvendige for at imødegå de stigende cybersikkerhedstrusler.

60 pct. af de adspurgte SMV'er mener, at en manglende forståelse af cybersikkerhed internt i organisationen er en af de største barrierer for, at implementere effektive sikkerhedsforanstaltninger.

Grit Munk ser ikke dette som en bremseklods for virksomhederne. Hun mener, at man kan starte med at udnytte virksomhedens eksisterende ressourcer ved at uddanne medarbejdere, der allerede kender virksomheden og dens behov. Noget, som mange kan lære, på trods af manglende relevant uddannelse indenfor området, især med henblik på at NIS2-direktivet i 2025 vil øge kravene for nogen SMV’ers cybersikkerhedsniveau: 

“Vi skal have meget præcist defineret, hvem der er omfattet af NIS2. For det er ikke nødvendigvis lige til at gennemskue, hvis man er en mindre virksomhed. Derudover kan mangel på generel viden om cybersikkerhedsområdet lede til at man undervurderer truslen: “Er der virkelig nogen, der gider hacke min lille virksomhed?”” 

I undersøgelsen foretaget af Aalborg Universitet fremhæves det også, at opkvalificering af medarbejdere på tværs af virksomhedens funktioner, er en effektiv metode til at øge cybersikkerheden i SMV'er. Det understreges også her, at grundlæggende cybersikkerhedstræning for medarbejdere, der ikke arbejder direkte med it, kan være en god måde at styrke den samlede cybersikkerhed på i SMV’er. 

De gratis løsninger er ikke nok: Cyberkriminelle finder en vej 

På trods af flere initiativer og gratis løsningsforslag for at opkvalificere cybersikkerhed i SMV’er, er økonomien stadig den primære barriere til at opnå et tilstrækkeligt sikkerhedsniveau. Jens Myrup Pedersen og Sofie Freja Christensen vurderer begge, at gratis løsninger ikke er tilstrækkelige:

”Man kan ikke beskytte sin virksomhed tilstrækkeligt med gratis løsninger. Derudover handler det mere om, at menneskene bag skal vide, hvordan systemerne bruges korrekt,” forklarer Jens Myrup Pedersen. 

Den stigende trussel, fra både cyberkriminelle og statsaktører, rejser spørgsmålet om, hvorvidt SMV’er ikke blot risikerer økonomisk og data tab, men også kan blive brugt som en indgang til kritisk infrastruktur.

Ifølge Jens Myrup Pedersen risikerer vi i Danmark, at jo mere at cybersikkerheden styrkes omkring den kritiske infrastruktur, desto større bliver risikoen for, at angreb rettes mod SMV’er som en alternativ vej ind.

Med den voksende kompleksitet og de kommende krav fra NIS2, står SMV’erne over for en udfordring, der kræver fokus på cybersikkerhed og ressourcer – selvom de kan være svære at finde.