Tema: Forsvar, Beredskab & Sikkerhed

Kontakt os for en uforpligtende snak

Ledelsens roadmap til sikkerhed

Du har måske læst vores indhold i Børsen, hvor fokus er på, at Danmark investerer historisk massivt i forsvaret. Men alt, der kobles til vores forsvar – en drone, en sensor, en metalkomponent, en softwareløsning eller en maskindel i en fabrik – bør være demonstreret sikre. Det krav kan ikke opfyldes af IT‑afdelingen alene. Det er ledelsens ansvar, og ansvaret bør styres, måles og dokumenteres i et samlet roadmap. Et roadmap som du kan læse om her på siden.

Artiklen kort

Mange virksomheder er ikke klar over, at de bliver betragtet som en del af Danmarks kritiske infrastruktur, når de leverer til forsvaret. Kritisk infrastruktur betyder skærpede krav til cybersikkerhed, men også til dokumentation, fabrikssikkerhed og modstandsdygtighed – krav som kun få virksomheder i dag kan leve op til, siger Peter Worck Nielsen fra Bureau Veritas.

Hanne M. Hansen, Head of OT Security hos Bureau Veritas, tilføjer, at virksomheder overser, at sikkerhed ikke kun handler om IT, men om drift, produktion, leverandørkæde, governance og cybersikkerhed. Mange taber kontrakter, fordi de ikke kan demonstrere sikkerhed.

En organisation er som bekendt kun så sikker som sin svageste leverandør, og derfor bør virksomheder, der ønsker at være leverandør til forsvaret, forholde sig til eventuelle krav inden for anderkendte standarder såsom ISO 27001, AQAP 2110, NIS2 og IEC 62443

Vil man være leverandør til forsvaret, handler det ikke om, hvad du er, men hvad du kan bevise. Her kan certifikater være bevisførelse, fastslår Hanne M. Hansen.  

Er certificering ny for dig? Her er hvad, du skal vide.

Ansvaret om at sikre, at sikkerheden er i top - ogkan dokumenteres- ligger hos ledelsen. Men hvad skal der gøres, i hvilken rækkefølge og hvad er "nok" kan være svært at overskue. Men certificeringer er betydelige investeringer. De skal vælges rigtigt - og i den rigtige rækkefølge. Derfor starter et effektivt roadmap med at afklare, hvilken af tre veje virksomheden skal følge.

De 3 veje i roadmappet 

  1. Kontrakten: Hvilke standarder kan kunden kræve?
  2. Ydelser og digitale løsninger: Hvilken informationsikkerhedscertificering spiller en
    væsentlig rolle?
  3. Fysiske produkter: Hvilken produktsikkerhedscertificering kræves?

Tilsammen giver de tre veje et komplet billede af virksomhedens sikkerhedsniveau. Ledelsen kan planlægge, prioritere og iværksætte præcis de indsatser, der gør, at de opfylder både tekniske, organisatoriske og kontraktuelle krav - men samtidigt undgå unødvendige investeringer og den langt dyrere risiko: at blive fravalgt på grund af manglende dokumentation. 

Ønsker du flere information om de 3 veje, kan du med fordel udforske de 3 drop-downs nedenstående.

  • 1. Kontrakten: Hvilke standarder kan kunden kræve?

    Første skridt er at forstå de formelle krav i kontrakten eller det kommende udbud. Mange kontrakter henviser direkte til AQAP 2110, der stiller krav til kvalitet, styring, sporbarhed og processer. I flere tilfælde kræves desuden ISO 27001 som dokumentation for Informationssikkerhed.

    Denne vej i roadmappet handler derfor om at identificere:

    • hvilke standarder der kan kræves for at levere til forsvaret
    • hvilke processer og systemer der skal til for at blive certificeret
    • hvilke certificeringer virksomheden skal kunne bevise compliance med

    Det er fundamentet: Hvis de kontraktuelle certificeringskrav ikke er opfyldt, er der risiko for, at virksomheden ikke i spil.

  • 2. Ydelser og digitale løsninger: Hvilken informationsikkerhedscertificering spiller en væsentlig rolle?

    Virksomheder, der leverer software, tjenester, rådgivning, systemer eller andre ikke-fysiske produkter, bør kunne demonstrere, at informationen er beskyttet. Her er ISO 27001 ofte den centrale certificering. Den kan stå alene, men den kan også kobles direkte til NIS2-direktivets krav om governance, risikostyring, bestyrelsesansvar og dokumentation.

    Denne vej i roadmappet afdækker:

    • om virksomheden skal certificeres i ISO 27001, og hvordan
    • hvordan processer, datahåndtering og leverandører løftes til certificeringsniveau
    • hvordan certificeringen skal dokumenteres

    Kan sikkerheden ikke dokumenteres gennem certificerede processer og styring, kan kontrakten være tabt - selv med et stærkt produkt.

  • 3. Fysiske produkter: Hvilken produktsikkerhedscertificering kræves?

    For virksomheder, der leverer fysiske komponenter, maskiner, teknologi eller hardware, kræves dokumentation for, at produktet selv er sikkert imod cyberangreb. Derfor bliver IEC 62443 en central certificering.

    Denne vej i roadmappet vurderer, om virksomheden skal:

    • certificeres i IEC 62443 for produktsikkerhed
    • sikre certificeret styring af udviklings- og produktionsmiljøet
    • dokumentere OT-sikkerhed og fabrikkens modstandsdygtighed

    Her er målet at sikre, at produktet og produktionsprocessen opfylder forsvarsindustriens dokumenterede sikkerhedsniveau - ikke kun på papiret, men i praksis.

Spørg os om ledelsens roadmap til sikkerhed
Hanne M. Hansen og Peter Worck Nielsen

Bureau Veritas

“Når vi udarbejder roadmaps til ledelsen, handler det om at skabe klarhed i et for mange uoverskueligt landskab af krav, standarder og godkendelser. Ét samlet roadmap giver virksomheden et struktureret overblik over, hvad der skal være på plads, hvornår, og hvordan det dokumenteres,” fortæller Hanne M. Hansen og Peter Worck Nielsen.