De seneste ti år har vist en markant stigning i både antallet og kompleksiteten af digitale trusler. Ransomware og statssponsoreret cyberkriminalitet har sat både økonomi, infrastruktur og samfundssikkerhed under pres. Det er ikke længere et spørgsmål om hvis, men hvornår truslen rammer.
EU har reageret ved at gøre cybersikkerhed til et centralt politisk og regulatorisk område. Strategier og lovgivning skal sikre, at medlemslandene kan modstå digitale trusler i fællesskab, og for at forstå EU’s stigende fokus på cybersikkerhed er det nødvendigt at se på både baggrunden, de nye reguleringer og de praktiske konsekvenser for organisationer.
EU skærper cybersikkerheden
Der er flere årsager til, at EU har valgt at styrke indsatsen:
Ransomware og supply chain-angreb: Cyberkriminelle er blevet mere organiserede, og angreb mod leverandørkæder har vist, hvordan ét svagt led kan få konsekvenser for hundredvis af virksomheder. Ransomware har udviklet sig til en milliardindustri, hvor data ikke kun krypteres, men også trues med offentliggørelse.
Covid-19 og accelereret digitalisering: Overgangen til hjemmearbejde og cloud-baserede løsninger under pandemien gjorde organisationer mere sårbare. Mange sikkerhedsforanstaltninger kunne ikke følge med den hastige digitalisering, hvilket skabte nye angrebsflader.
Geopolitiske spændinger: Krigen i Ukraine har vist, hvordan cyberangreb bruges som en del af hybridkrigsførelse. Angreb mod energi- og kommunikationsinfrastruktur har ramt både Ukraine og EU-lande, og truslen fra statssponsorerede aktører er blevet en central faktor i Europas sikkerhedspolitik.
Stigende afhængighed af digitale tjenester: Kritiske funktioner som sundhedssystemer og energiforsyning er afhængige af digitale systemer. Hvis driften stopper, kan konsekvenserne hurtigt blive samfundskritiske.
Det samlede pres har været med til at forme EU’s cybersikkerhedsstrategi, som siden 2020 har sat retningen for, hvordan medlemslandene skal samarbejde om at forebygge, opdage og reagere på digitale trusler.
EU’s Cybersecurity Strategy (2020)
I december 2020 lancerede Europa-Kommissionen en ny cybersikkerhedsstrategi med visionen om ”et digitalt sikkert Europa”. Strategien er en del af EU’s Digital Decade og skal styrke modstandsdygtigheden på tværs af medlemslandene.
Strategien bygger på tre søjler:
1) Resiliens og teknologisk suverænitet
Målet er at sikre, at Europas digitale infrastruktur kan modstå og komme sig efter cyberangreb. Det handler både om tekniske krav og om at mindske afhængigheden af leverandører uden for EU. Derfor har man bl.a. vedtaget:
- NIS2-direktivet der stiller skærpede krav til sikkerhed i kritiske sektorer som energi, transport, sundhed og offentlig forvaltning.
- CER-direktivet der supplerer NIS2 ved at adressere den fysiske og digitale robusthed i kritiske enheder.
- Cyber Resilience Act der pålægger producenter at indbygge sikkerhed i software og produkter fra starten og sørge for løbende opdateringer.
Tilsammen skal initiativerne sikre, at EU ikke kun er forbruger af teknologi, men også stiller krav til sikkerhed og skaber større uafhængighed af eksterne aktører.
2) Forebyggelse og respons
Strategien lægger vægt på, at EU ikke kun skal reagere, når skaden er sket, men også kunne forebygge og opdage trusler tidligt. Konkret betyder det:
- et fælles europæisk netværk af sikkerhedsoperationscentre (SOC’er), der kan overvåge trusselsbilledet i realtid.
- et styrket mandat til ENISA, Det Europæiske Agentur for Cybersikkerhed, som nu både rådgiver, koordinerer og støtter medlemslandene i håndtering af større hændelser.
- etablering af en fælles værktøjskasse af metoder og best practice, som kan bruges på tværs af EU.
Formålet er at skabe et mere proaktivt forsvar, hvor hændelser kan opdages hurtigt og håndteres effektivt, så konsekvenserne minimeres.
3) Internationalt samarbejde
Da cybertrusler ikke respekterer landegrænser, skal EU arbejde tæt sammen med internationale partnere. Strategien prioriterer derfor:
- partnerskaber med andre stater og organisationer om informationsdeling og fælles standarder.
- en aktiv rolle i internationale fora, hvor regler og normer for cyberspace udvikles.
- indsats mod statssponsorerede angreb, hvor EU kan bruge både diplomatiske og økonomiske midler.
På den måde søger EU at styrke sin rolle som global aktør i cybersikkerhed og bidrage til et mere stabilt og forudsigeligt digitalt miljø.
Digital Finance Strategy (2020)
Sideløbende med EU’s Cybersecurity Strategy lancerede EU i 2020 en særskilt Digital Finance Strategy. Målet var at sikre, at Europas finanssektor kan udnytte digitaliseringens muligheder uden at gå på kompromis med sikkerheden. Strategien skulle både fremme innovation og styrke modstandsdygtigheden over for cybertrusler.
Den mest markante udmøntning af strategien er DORA-forordningen (Digital Operational Resilience Act), der stiller bindende krav til finanssektorens håndtering af it-risici.
DORA omfatter blandt andet:
- IKT-risikostyring: Finansielle institutioner skal identificere, vurdere og håndtere deres digitale risici systematisk.
- Hændelsesrapportering: Alvorlige it-hændelser skal rapporteres hurtigt og detaljeret til de relevante myndigheder.
- Leverandør- og cloudstyring: Der stilles krav til kontrol og overvågning af kritiske tredjepartsleverandører, særligt cloudtjenester.
- Test af modstandsdygtighed: Institutionerne skal løbende teste deres evne til at modstå og komme sig efter cyberangreb.
DORA understreger, at Europas finansielle stabilitet er et sikkerhedspolitisk anliggende, og at digital modstandsdygtighed er en strategisk nødvendighed.
Fra strategi til regulering – EU’s nye normal
De seneste år har vist, at EU’s cybersikkerhedsstrategier ikke bliver liggende i skrivebordsskuffen i Bruxelles. De omsættes til bindende lovgivning, og organisationer i hele Europa skal nu indrette styring, processer og investeringer efter lovkrav.
Det betyder, at compliance ikke længere kan betragtes som en frivillig best practice, men som en reguleret forpligtelse på linje med finansiel rapportering eller miljøkrav. Manglende efterlevelse udløser ikke blot øget risiko, men også juridiske og økonomiske konsekvenser.
NIS2-direktivet betyder for mange organisationer, at de skal dokumentere deres risikostyring, beredskabsplaner og hændelsesrapportering på et niveau, de ikke tidligere har været underlagt.
Direktivet stiller desuden nye krav til ledelsen, der skal tage aktivt ansvar for cybersikkerheden. Det er ikke længere nok at overlade ansvaret til it-afdelingen – ledelsen skal selv kunne dokumentere, hvordan der arbejdes med NIS2.
DORA-forordningen går et skridt videre i finanssektoren, hvor digital robusthed er blevet en del af det regulatoriske fundament på linje med kapitalkrav. Banker, pensionskasser og forsikringsselskaber skal ikke alene kunne håndtere cyberhændelser, men også løbende teste deres beredskab og dokumentere, at de kan opretholde kritiske funktioner under pres.
Et centralt element er leverandørstyring: Store dele af sektoren er afhængige af cloud-udbydere, og DORA kræver, at disse relationer overvåges og kontrolleres tæt. Dermed bliver cybersikkerhed et ansvar, der rækker ud i hele værdikæden.
CER-direktivet (Critical Entities Resilience) minder os om, at digitale og fysiske trusler hænger tæt sammen. En cyberhændelse kan have fysiske konsekvenser og omvendt. CER pålægger derfor organisationer i kritiske sektorer at styrke både deres digitale og fysiske robusthed.
For eksempel skal energiselskaber ikke kun sikre deres it-systemer mod angreb, men også have styr på adgangskontrol og overvågning, nødstrøm, brand- og oversvømmelsesprocedurer samt planlægning for at kunne holde driften kørende under ekstreme forhold.
Cyber Resilience Act supplerer billedet ved at stille krav til producenter af hardware og software, hvor sikkerhed skal indbygges fra starten og vedligeholdes gennem hele produktets livscyklus.
Hvad betyder det for organisationer?
For både offentlige og private aktører betyder EU’s reguleringer nye forpligtelser og nye forventninger til, hvordan arbejdet med sikkerhed organiseres.
Flere sektorer er direkte underlagt krav
Hvor det tidligere især var energi og telekommunikation, der blev stillet krav til, rammer reglerne nu bredt. Hospitaler, kommuner, banker, transportvirksomheder og digitale tjenesteudbydere i Danmark er blandt dem, der skal kunne dokumentere deres beredskab og sikkerhed.
Ledelsesansvaret er tydeliggjort
Topledelsen har fået en ny rolle. Hvor cybersikkerhed tidligere var et spørgsmål om budgetgodkendelser, er det nu en strategisk ledelsesopgave på linje med finansiel kontrol og ESG. Direktion og bestyrelse skal løbende følge op på risici, investeringer og leverandørvalg og sikre, at hele værdikæden lever op til kravene. Ansvaret er blevet synligt, ufravigeligt og direkte knyttet til ledelsen.
LÆS OGSÅ: Complianceprogrammer: Få ledelsens opbakning og forståelse
Compliance kræver systematik og dokumentation
For at leve op til kravene skal arbejdet med cybersikkerhed være dokumenterbart og systematisk, hvilket blandt andet indebærer:
- Løbende risikovurderinger
- Klare procedurer for hændelseshåndtering
- Kontinuerlig kontrol af leverandører og samarbejdspartnere
Det handler ikke kun om at kunne krydse af i en tjekliste, men om at skabe en praksis, som kan modstå både myndighedstilsyn og reelle cyberangreb.
Behovet for værktøjer vokser
Manuel håndtering af kravene bliver hurtigt uoverskueligt. Derfor ser vi en stigende interesse for GRC-platforme, der kan samle governance, risk og compliance i ét system. For mange organisationer er det den eneste realistiske måde at skabe overblik over data, processer og rapportering.
Fra pligt til konkurrenceparameter
Selvom reglerne kan opleves som en tung byrde, rummer de også muligheder, og cybersikkerhed er ikke kun en udgiftspost. Organisationer, der kan dokumentere robusthed og compliance, står stærkere i udbud, i dialogen med samarbejdspartnere og i forhold til borgernes og kundernes tillid. Det betyder, at reglerne, selvom de kan føles tunge, kan bruges aktivt som et konkurrenceparameter.
Den virksomhed, der kan bevise sikkerhed og ansvarlighed, har et klart forspring i markedet.
Cybersikkerhed som Europas konkurrenceparameter
EU’s reguleringer viser tydeligt, at cybersikkerhed ikke længere kun handler om at beskytte data og systemer – det handler også om Europas evne til at konkurrere globalt og fastholde sin teknologiske suverænitet. EU bruger regulering som et strategisk redskab til at styrke Europas samlede konkurrencekraft. Når USA og Kina investerer massivt i digitale løsninger, vil EU skille sig ud ved at koble innovation med ansvarlighed.
Det betyder, at virksomheder i Europa ikke kun måles på pris og kvalitet, men også på evnen til at levere sikre og pålidelige digitale tjenester. På sigt kan det blive et af de stærkeste kort, europæiske organisationer har på hånden: at de opererer i et økosystem, hvor sikkerhed er en integreret del af værdikæden.
