DIGITALISERING

STRATEGI & ORGANISATION

Danmark er ikke klar til EU’s nye cybersikkerhedsregler

Kommuner og mange virksomheder mangler fortsat både kompetencer og ressourcer til at efterleve nye EU-regler om cybersikkerhed. Det øger risikoen ved cyberangreb, advarer CBS-forsker Jan Lemnitzer.

Af CBS Efteruddannelse

Danmark er et af Europas mest digitaliserede samfund. Næsten alle dele af hverdagen, fra sundhedsvæsen til transport, drives af digitale systemer. Fra MitID til Rejsekort. Men høj digitalisering betyder ikke nødvendigvis høj sikkerhed.

”Vi står over for den største cybertrussel nogensinde, men vi er ikke klar. Truslerne kommer både fra kriminelle ransomware-grupper, der afpresser virksomheder, og fra fjendtlige statsaktører,” siger Jan Lemnitzer, adjunkt ved Copenhagen Business School, hvor han forsker i europæisk cybersikkerhedspolitik og blandt andet rådgiver om implementeringen af EU’s NIS2-direktiv.

Ifølge Jan Lemnitzer er Danmarks kritiske infrastruktur, herunder kommuner og mellemstore virksomheder, dårligt forberedt på kravene i NIS2-direktivet, der skal styrke cybersikkerheden i Europa.

Dermed risikerer Danmark at holde døren åben for cyberangreb, ifølge Jan Lemnitzer.

”Nogle virksomheder gambler allerede med, at tilsynsmyndighederne ikke er klar. De overholder ikke reglerne.”

Jan Lemnitzer, adjunkt

Ransomware er en type malware (skadelig software), der låser dine filer og systemer eller krypterer dem for at forhindre adgang. Derefter opkræves en løsesum for at give adgangen tilbage.

Kommuner er inkluderet, men ikke forberedt

NIS2 udvider definitionen af kritisk infrastruktur. Det er ikke længere kun store banker og energiselskaber, der skal kunne dokumentere, at de håndterer cyberrisici.

Nu er også kommuner, busselskaber, spildevandsanlæg og mange mellemstore virksomheder med over 50 ansatte omfattet af direktivet.

At kommunerne er med giver god mening, vurderer Jan Lemnitzer. De ligger inde med enorme mængder persondata og leverer vitale ydelser i et digitaliseret samfund. Men de er samtidig blandt de dårligst forberedte på at forsvare sig.

”Kommunerne er nu klassificeret som kritisk infrastruktur, og det giver mening, fordi de rummer så mange følsomme data og driver essentielle tjenester. Men deres cyberforsvar er svagt. De har hverken ekspertisen eller budgetterne. De kan ikke tiltrække topeksperter, og politisk ville det være meget upopulært at tage penge fra børnehaver for at betale for DDoS-beskyttelse,” siger han.

Delt ansvar forsinker implementering

EU-landene skulle have omsat NIS2 til national lovgivning senest i oktober 2024. Danmark har dog først udskudt implementeringen til sommeren 2025, og håndhævelsen kan risikere at komme til at vente på sig i mange måneder endnu, advarer Jan Lemnitzer.

Ministeriet for Samfundssikkerhed og Beredskab har hovedansvaret, men håndhævelsen af NIS2-direktivet bliver fordelt på ti forskellige myndigheder indenfor ti forskellige sektorer – såsom Transportstyrelsen og Fødevarestyrelsen.

Tanken er, at hver myndighed skal kontrollere, om organisationer i deres sektor håndterer cyberrisici korrekt. Men i praksis mangler de fleste kompetencerne til det, vurderer Jan Lemnitzer.

”Hvem i Fødevarestyrelsen kan sige til Arla, at de ikke har styr på cybersikkerheden? De har ikke medarbejdere, der realistisk kan vurdere, om Arlas cybersikkerhedsstyring er på plads. Så Fødevarestyrelsen og andre myndigheder vil ende med at hyre Deloitte eller PwC til at gøre det for dem,” siger han.

Denne opdeling og mangel på ekspertise betyder, at håndhævelsen sandsynligvis bliver langsom og inkonsekvent. Og så længe reglerne ikke håndhæves, vil mange virksomheder og kommuner udskyde investeringer i overholdelse, vurderer Jan Lemnitzer.

Distributed Denial of Service er et cyberangreb, hvor angriberen oversvømmer et netværk eller en hjemmeside med så meget falsk trafik, at den bliver overbelastet og utilgængelig for legitime brugere.

Ikke kun data: Angreb kan lamme vand og transport

Jo længere tid, der går, før NIS2 bliver håndhævet, jo længere tid er det danske samfund sårbart over for cyberangreb. Danmarks høje digitalisering betyder samtidig, at ét svagt led kan få store konsekvenser.

I 2022 blev DSB tvunget til at indstille al togdrift i en dag på grund af en leverandørs IT-nedbrud.

I december 2024 medførte et prorussisk cyberangreb mod et mindre vandværk ved Køge, at 50 husstande stod uden vand i flere timer, efter hackere manipulerede trykket i systemet.

”Selvom det kan virke som et lille angreb, ændrede det faktisk den nationale risikovurdering for cyberangreb, da det viste, at russiske hackere aktivt angreb dansk infrastruktur,” siger Jan Lemnitzer.

Og regeringens opfordring til husholdninger om at opbevare mad og vand til tre dage bygger på scenarier med cyberangreb mod elnettet.

”Det handler ikke kun om data. Et vellykket angreb kan betyde ingen vand, ingen tog, intet mobilsignal. Vi står over for den største cybertrussel nogensinde, men vi er ikke klar. Reglerne findes, men så længe de ikke håndhæves konsekvent, vil virksomheder og kommuner udskyde at leve op til dem. Og det gør os sårbare,” siger Jan Lemnitzer.

CBS lancerer SUCCESS-værktøjet

En del af udfordringen med NIS2 er, at mange små og mellemstore virksomheder og kommuner mangler de interne kompetencer til at opfylde kravene. Konsulenter er dyre, og kvalificeret arbejdskraft er en mangelvare.

For at afhjælpe situationen arbejder Jan Lemnitzer og hans team på CBS lige nu på at lancere et nyt værktøj til SMV’er i begyndelsen af oktober – under Cybersecurity Awareness Week.

SUCCESS-værktøjet er designet til at hjælpe organisationer uden cybersikkerhedsafdelinger med at gennemføre de risikovurderinger, som NIS2 kræver.

”De fleste SMV’er har hverken ekspertise eller budget til at hyre konsulenter. SUCCESS er et Excel-baseret værktøj, hvor man blot udfylder en formular. Det kræver ingen specialuddannelse men hjælper virksomhederne med at udføre og dokumentere de risikovurderinger, NIS2 kræver,” forklarer Jan Lemnitzer.

Ved at omsætte forskning til praksis håber Jan Lemnitzer at hjælpe mindre organisationer med at efterleve EU’s regler og styrke Danmarks samlede modstandsdygtighed.

”Hvis SMV’er kan hæve deres cybersikkerhedsstandarder, gør det en forskel – ikke kun for Danmark, men for hele Europa."

Jan Lemnitzer, adjunkt

Jan Martin Lemnitzer er adjunkt ved Institut for Digitalisering på Copenhagen Business School. Han har en kandidatgrad fra Heidelberg University og en ph.d. fra London School of Economics and Political Science.

Med en baggrund i international politik og historie undersøger hans forskning cybernormer og cybersikkerhed i international politik. I dag fokuserer han på cybersikkerhed i virksomheder, cyberforsikring og regulering af cybersikkerhed (særligt implementeringen heraf).

Cyber threats are on the rise – and so are the demands for regulatory compliance. Join CBS Executive Education on 2 December for a free event exploring what it takes to turn regulation into real world resilience.

Media content for Upcoming event: Cybersecurity in Practice

Cyberkrig i Ukraine og beskyttelse af kritisk infrastruktur: hvad NIS2 betyder for dig

EU-lovkrav om cybersikkerhed: Ledere har haft et år til at blive klar

”Vi kan gå fra digitaliseret samfund til stenalder på et øjeblik”

Transformering af virksomheder med digital teknologi

Fandt du dette interessant? Så tilmeld dig vores nyhedsbrev og få adgang til endnu mere af vores forskning og til vores events.

CBS Efteruddannelse adresserer de store samfundsudfordringer og giver dig mulighed for at lære gennem undervisning og events, som bygger på forskning tæt forbundet med din hverdag.

Udfyld formularen og få:

Personlige invitationer event invitationer
Adgang til vores nyeste forskning, når det udkommer i form af artikler, podcast, video
Mere viden om vores efter- og videreuddannelse

Executive MBA

CBS EMBAs unikke programdesign og virkelige anvendelighed giver dig platformen til at navigere i et turbulent globalt forretningsmiljø og blive en leder i erhvervslivet, der kan styre din organisation mod bæredygtig indflydelse og succes. Programmet undervises på engelsk 🇬🇧.

Lær mere

Master of Business Development

Uddannelsen for dem, der brænder for at skabe nye, innovative løsninger og ønsker at tage ansvar for at løfte og udvikle virksomheden - for dem, der vil mere.

Lær mere

Digital business

Uanset hvilket job, du har, er det afgørende at have en grundlæggende viden om digitalisering og de muligheder og udfordringer, der skabes af teknologien. Det kan du sikre dig med dette kursus. Kurset undervises på engelsk 🇬🇧.

Lær mere

Danmark er ikke klar til EU’s nye cybersikkerhedsregler

”Nogle virksomheder gambler allerede med, at tilsynsmyndighederne ikke er klar. De overholder ikke reglerne.”

Hvad er ransomware?

Hvad er DDoS?

”Hvis SMV’er kan hæve deres cybersikkerhedsstandarder, gør det en forskel – ikke kun for Danmark, men for hele Europa."

Om forskeren

Upcoming event: Cybersecurity in Practice

Læs mere

Din vej til mere viden

Lær mere