Virksomhedsforum for Digital Sikkerhed

Virksomhedsforum for Digital Sikkerhed skal højne særligt små og mellemstore virksomheders digitale sikkerhedsniveau ved at komme med anbefalinger til regeringen og erhvervslivet samt fungere som en strategisk partner for regeringen i udvikling og implementering af konkrete indsatser. 

  • Opdateret 20. december 2021

Om Virksomhedsforum for Digital Sikkerhed

Baggrund

I takt med at danske virksomheder udnytter digitaliseringens potentiale og muligheder stiger risikoen samtidig for, at de udsættes for cyberangreb. Analysen Digital Sikkerhed i danske SMV’er fra 2019 viser, at knap hver fjerde danske SMV ikke har implementeret helt grundlæggende sikkerhedstiltag. Et angreb har ofte store omkostninger for den virksomhed, der rammes, og kan samtidig have konsekvenser for andre virksomheder og organisationer i værdikæden. I den forstand kan manglende sikkerhed hos virksomhederne udgøre en samfundsmæssig sikkerhedsrisiko. For at understøtte en ansvarlig digitalisering og sikre fortsat tillid til erhvervslivets digitale løsninger, er det en forudsætning, at danske virksomheder har et digitalt sikkerhedsniveau, der er tilstrækkeligt i forhold til deres systemer og følsomme data.

Regeringen har besluttet at sammenlægge det nuværende Virksomhedsråd for it-sikkerhed og Erhvervspartnerskabet for øget it-sikkerhed med henblik på at få en mere strømlinet og effektiv virksomhedsrettet indsats for at øge digital sikkerhed. Det nye Virksomhedsforum for Digital Sikkerhed vil understøtte regeringens arbejde med at fremme og styrke det danske erhvervslivs digitale sikkerhedsniveau. Med etableringen af forummet er det samtidig hensigten at styrke videndelingen på tværs af brancher for at sikre et overordnet fælles løft af den digitale sikkerhed i dansk erhvervsliv.

Rammerne for rådets arbejde

Virksomhedsforum for Digital Sikkerhed får til opgave at:

  • Komme med anbefalinger til regeringen og erhvervslivet, som skal bidrage til et generelt løft af den digitale sikkerhed i dansk erhvervsliv, herunder styrke rammerne for den digitale sikkerhed. Hertil kan forummet under-støtte, at et højt digitalt sikkerhedsniveau kan blive en konkurrencefordel for dansk erhvervsliv. Eventuelle merudgifter som følge af anbefalinger og initiativer fra Virksomhedsforummet for Digital Sikkerhed afholdes inden for relevante ministeriers eksisterende rammer.
  • Fungere som en strategisk partner for regeringen i udvikling og implementering af konkrete indsatser til styrkelse af digital sikkerhed i dansk erhvervsliv.

Konkret vil forummet arbejde med følgende emner:

  • Øget digital sikkerhed i dansk erhvervsliv og særligt blandt SMV'er med fokus på forebyggende regulering, oplysning, videndeling og værktøjer samt handlingsorienteret hjælp i tilfælde af angreb.
  • Øget sikkerhed i udvikling og brug af digitale teknologier såsom kunstig intelligens, IoT og cloud.
  • Muligheden for at understøtte digital sikkerhed som en konkurrencefordel for dansk erhvervsliv.
  • Styrkelse af økosystemet og rammerne for startups og andre virksomheder i den danske it-sikkerhedsbranche, så forbrugere og virksomheder sikres et bredt udvalg af gode sikkerhedsprodukter.
  • Bidrage til at formulere danske interesser med henblik på interessevaretagelse i forbindelse med europæisk cybersikkerhedscertificering.

Sammensætning

Forummet forventes at bestå af 14 medlemmer samt en formand, som udpeges af erhvervsministeren. Forummets medlemmer vil bestå af SMV Danmark, IT-Branchen, Dansk Erhverv, Dansk Industri, Finans Danmark og IDA samt HK som fagforeningsrepræsentant. Desuden udpeges otte virksomhedsrepræsentanter (heriblandt en formand) til forummet.

Forummet sekretariatsbetjenes af Erhvervsstyrelsen, og Center for Cybersikkerhed under Forsvarsministeriet er observatør. Erhvervsstyrelsen vil løbende koordinere forummets aktiviteter med relevante ministerier og samarbejdspartnere, herunder det nye Cybersikkerhedsråd, der sekretariatsbetjenes af Digitaliseringsstyrelsen og Center for Cybersikkerhed. Cybersikkerhedsrådet adskiller sig fra Virksomhedsforum for Digital Sikkerhed ved udelukkende at fokusere på et strategisk niveau og på mere tværgående indsatser målrettet både myndigheder og virksomheder, hvorimod Virksomhedsforum for Digital Sikkerhed har et mere snævert fokus på digital sikkerhed i SMV’er og bidrager med rådgivning om strategiske indsatsområder såvel som udvikling af konkrete løsninger.

Virksomhedsforum for Digital Sikkerhed kan finansieres inden for den nuværende ramme afsat til Virksomhedsrådet for it-sikkerhed (bevilling fra Strategi for Danmarks Digitale vækst) suppleret med de eksisterende lønmidler, der er afsat til Erhvervspartnerskabet for øget it-sikkerhed (bevilling fra den Nationale Strategi for Cyber- og Informationssikkerhed). Der er finansiering til og med 2021.

Forummet består af 14 medlemmer samt en formand, som er udpeget af erhvervsministeren. Forummets medlemmer består af SMV Danmark, IT-Branchen, Dansk Erhverv, Dansk Industri, Finans Danmark og IDA samt HK som fagforeningsrepræsentant. Desuden er otte virksomhedsrepræsentanter (heriblandt en formand) udpeget til forummet.

Medlemskredsen i Virksomhedsforum for Digital Sikkerhed:  

  • Formand 
    • Tom Engly (Tryg)
       
  • Syv virksomhedsrepræsentanter 
    • Ingrid Colding-Jørgensen (Novo Nordisk)
    • Jacob Herbst (Dubex)
    • Henning Mortensen (Brødrene A & O) 
    • Laura Vilsbæk (Vilsbaek)
    • Andreas Frederik Wehowsky (wehowsky.com)
    • Malene Stidsen (Industriens Fond) 
    • Michael Warrer (NRGi)
       
  • Syv repræsentanter fra centrale organisationer  
    • Dansk Erhverv (Frederikke Rosendal Egede Saabye)
    • Dansk Industri (Morten Rosted Vang)
    • SMV-Danmark (Ulla Norup Panild)
    • Finans Danmark (Mette Stürup)
    • IT-Branchen (Martin Jensen Buch)
    • IDA (Grit Munk)
    • HK (Jeppe Engell)

Den 18. januar 2021 lancerede regeringen Virksomhedsforum for Digital Sikkerhed, der skal være med til at sikre bedre digital sikkerhed i danske virksomheder samt sætte fokus på at gøre digital sikkerhed til en styrkeposition for dansk erhvervsliv.

Forummet mødes i udgangspunktet 4-6 gange årligt og sekretariatsbetjenes af Erhvervsstyrelsen. 

Center for Cybersikkerhed under Forsvarsministeriet er observatør. 

Erhvervsstyrelsen koordinerer løbende forummets aktiviteter med relevante ministerier og samarbejdspartnere, herunder Cybersikkerhedsrådet.

Medlemstal, konstitution mv.

Forummet består af 14 medlemmer samt en formand, som udpeges af erhvervsministeren.

Forummets medlemmer består af repræsentanter fra SMVdanmark, ITBranchen, Dansk Erhverv, Dansk Industri, Finans Danmark og IDA samt HK
som fagforeningsrepræsentant. Desuden udpeges otte virksomhedsrepræsentanter (heriblandt en formand) til forummet.

Formanden skal formidle et godt samarbejde i forummet og sikre, at forummet fungerer tilfredsstillende, og at opgaverne varetages på bedst mulig måde.
Forummet sekretariatsbetjenes af Erhvervsstyrelsen.

Center for Cybersikkerhed under Forsvarsministeriet er observatør.

Erhvervsstyrelsen vil løbende koordinere forummets aktiviteter med relevante ministerier og samarbejdspartnere, herunder det nye Cybersikkerhedsråd, der sekretariatsbetjenes af Digitaliseringsstyrelsen og Center for Cybersikkerhed. Deltagelse i forummet vil være frivilligt og er ikke honoreret

Opgaver

Virksomhedsforum for Digital Sikkerhed er etableret med henblik på at:

  • Understøtte regeringens arbejde med at fremme og styrke det danske erhvervslivs digitale sikkerhedsniveau.
  • Styrke videndelingen på tværs af brancher for at sikre et overordnet fælles løft af den digitale sikkerhed i dansk erhvervsliv.

Virksomhedsforum for Digital Sikkerhed får til opgave at:

  • Komme med anbefalinger til regeringen og erhvervslivet, som skal bidrage til et generelt løft af den digitale sikkerhed i dansk erhvervsliv, herunder styrke rammerne for den digitale sikkerhed. Hertil kan forummet understøtte, at et højt digitalt sikkerhedsniveau kan blive en konkurrencefordel for dansk erhvervsliv.
  • Fungere som en strategisk partner for regeringen i udvikling og implementering af konkrete indsatser til styrkelse af digital sikkerhed i dansk erhvervsliv.

Møder i Virksomhedsforum for Digital Sikkerhed

Ordinære møder

Det er forventningen, at Virksomhedsforum for Digital Sikkerhed i udgangspunktet mødes 4-6 gange årligt.

Der vil blive udsendt en mødeindkaldelse til alle deltagende. Dette vil normalt ske med et varsel på senest 3 uger inden mødet.

Formanden udarbejder sammen med sekretariatet en dagsorden for møderne.

Bilagsmateriale udarbejdes af sekretariatet og fremsendes til medlemmerne forud for et møde senest 5 dage før.

Formanden og sekretariatet er ansvarlige for, at der bliver udarbejdet en mødeplan og et arbejdsprogram.

Forummets møder ledes af formanden og sekretariatet.

Medlemmerne opfordres til at deltage i alle møder i Virksomhedsforummet, og det forventes, at medlemmerne deltager aktivt i drøftelserne.

Ekstraordinære møder afholdes, når formanden eller sekretariatet finder det nødvendigt.

Arbejdsgruppemøder

Der vil være en række mindre arbejdsgruppemøder, som aftales og planlægges indbyrdes i arbejdsgrupperne.

Antal af møder i arbejdsgrupperne aftales internt i den enkelte arbejdsgruppe.

Der vil minimum være en fra sekretariatet repræsenteret ved hvert arbejdsgruppemøde, som vil være til rådighed og understøtte arbejdet.

Det opfordres til, at der udvælges et medlem i arbejdsgruppen, som er ordstyrer og kontaktperson for sekretariatet.

Suppleant

Medlemmer, der er forhindret i at deltage i et møde, skal underrette sekretariatet herom inden mødets afholdelse. Det er ikke muligt at sende en afløser til ordinære møder i Virksomhedsforummet. Studieture eller lign. anses som ordinære møder, og der kan derfor heller ikke sendes en afløser ved sådanne arrangementer.

Såfremt det ønskes at sende en afløser til et arbejdsgruppemøde, skal det godkendes af sekretariatet, og de øvrige medlemmer i arbejdsgruppen orienteres.

Når et medlem ved fravær i en kortere periode på grund af sygdom, barsel eller lignende er ude af stand til at deltage i Virksomhedsforummets arbejde, er det muligt at indkalde en suppleant til at indtræde for fraværsperioden. Suppleanten skal godkendes af Erhvervsministeriet. Såfremt fraværsperioden er permanent, skal der udpeges et nyt medlem, som skal godkendes af regeringen.

Godtgørelse

Der vil være godtgørelse af medlemmernes rejseudgifter og øvrige udgifter i forbindelse med arbejdet i forummet, dvs. kun i forbindelse med ordinære møder, arbejdsgruppemøder og andre arrangementer der afholdes af Virksomhedsforum.

Det vil ligeledes være muligt at få godtgørelse af udgifter til mødeforplejning, hvis man for eksempel er vært for et møde. Kvitteringer for udgifter sendes til sekretariatet, som vil sørge for at udgifterne refunderes.

Ikrafttrædelse

Denne forretningsorden træder i kraft den 1. februar 2021. Forretningsordenen kan ændres efter enighed mellem formanden og sekretariatet.


Arbejdsgrupper i Virksomhedsforum for Digital Sikkerhed 

Der er nedsat tre arbejdsgrupper i forummet, som i udgangspunktet løber frem til udgangen af 2021. Formålet er, at arbejdsgrupperne, inden for de overordnede rammer af Virksomhedsforum for Digital Sikkerheds arbejde, skal sætte særligt fokus på et bestemt emne, som er blevet udvalgt af forummet. 

Overordnet ramme for arbejdsgruppen

Inden for de overordnede rammer af Virksomhedsforum for Digital Sikkerheds arbejde, skal arbejdsgruppen, der sætter fokus på udbredelsen af eksisterende værktøjer, have særligt fokus på at fungere som en strategisk partner for regeringen i udvikling og implementering af konkrete indsatser til styrkelse af digital sikkerhed i dansk erhvervsliv.

Opgavebeskrivelse

I dag eksisterer der en lang række gode initiativer, både vejledninger, værktøjer, hjemmesider mv., som skal hjælpe virksomheder med at styrke deres digitale sikkerhed. Men mange virksomheder kender og anvender dem fortsat ikke. Arbejdsgruppens arbejde skal derfor være centreret omkring, hvordan de allerede etablerede initiativer og værktøjer kan blive udbredt bedre. Der skal sættes fokus på, hvordan eksisterende værktøjer og vejledninger kan komme ”ud at leve” fremfor at igangsætte endnu flere initiativer.

Arbejdsgruppen skal hermed undersøge, hvilke tiltag der kan tages for at udbrede eksisterende værktøjer og generel viden om digital sikkerhed blandt endnu flere virksomheder med særligt fokus på de virksomheder, som har det laveste digitale sikkerhedsniveau. Der vil bl.a. tages udgangspunkt i principper fra adfærdsdesign som inspiration til indsatser, som animerer til handling og rykker adfærd i målgruppen.

Arbejdsgruppen skal bl.a. adressere:

  • Hvordan kan kendskabet til informationsportalen Sikkerdigital.dk blive udbredt med henblik på at positionere hjemmesiden som Danmarks autoritative sikkerhedssite og statens fælles indgang for hjælp og vejledning om digital sikkerhed?
  • Hvordan kan eksisterende viden samles, så det er mere overskueligt og gennemsigtigt for SMV’erne at finde information om digital sikkerhed?
  • Barriererne for SMV’ernes anvendelse af de nuværende initiativer.
  • Hvordan kan fordelene og mulighederne ved de eksisterende initiativer blive forklaret i øjenhøjde med virksomhederne?
  • Hvilke metoder kan anvendes til at skabe adfærdsændringer og ikke bare ’awareness’ blandt SMV’er? Hvordan får man SMV’er til at gå fra erkendelse af cybertrusler til handling for at modstå disse?
  • Hvilken form for kommunikation og kanaler skal der anvendes, når der skal kommunikeres om digital sikkerhed til SMV’er? Hvordan når man bredere ud, og gør kommunikationen handlingsrettet?
  • Hvilke aktører kan der samarbejdes med i arbejdet med at udbrede eksisterende initiativer og værktøjer?

Øvrige mulige indsatsområder:

  • Hvordan kan der anvendes adfærdsdesign til at fremme den rette adfærd og igangsætte de gode tiltag?
  • Øget brug af netværk og aktører, som kan fungere som ’rollemodeller’ eller ’ambassadører’ for digital sikkerhed, herunder muligheden for op-søgende relationsarbejde i lokale erhvervsforeninger og erhvervsråd
  • Skabe et styrket samarbejde med erhvervshuse mv.

Arbejdsgruppen skal derudover forholde sig til følgende tværgående emner:

  • Effektmåling: Hvilke KPI’er arbejdsgruppens indsats kan måles på?
  • Problemstilling: Hvilke anbefalinger og/eller konkrete aktiviteter skal arbejdet munde ud i?
  • Udbredelse: Hvordan implementeres og udbredes indsatsen til virksomhederne? Hvilke metoder kan der benyttes (fx adfærdsteori)?
  • Målgruppe: Hvilke virksomhedssegmenter skal anbefalingerne/aktiviteterne rettes mod, og hvordan målrettes indsatserne til de forskellige virksomhedssegmenter?
  • Ny National Strategi for Cyber- og Informationssikkerhed: Hvordan kan arbejdet i arbejdsgrupperne være med til at understøtte det virksomhedsrettede fokus i den nye strategi?

Retningslinjer for arbejdet i arbejdsgruppen

Der vil være en række arbejdsgruppemøder, som aftales og planlægges internt i arbejdsgruppen. Antallet af møder aftales internt i arbejdsgruppen. Tilsvarende med konkrete leverancer og deadlines.

Der vil minimum være en fra sekretariatet repræsenteret ved hvert arbejdsgruppemøde, som vil være til rådighed og understøtte arbejdet.

Hver arbejdsgruppe har en arbejdsgruppeformand, som er ordstyrer på møderne og kontaktperson for sekretariatet.

Arbejdsgruppen er tænkt som eksekverende, og medlemmerne er ansvarlige for at løfte gruppens formål og aktiviteter i egen organisation. Arbejdsgruppen skal bidrage og assistere ved udarbejdelsen af de initiativer eller tiltag, som arbejdsgruppen ønsker at igangsætte. Det vil være sekretariatet, som står for den skriftlige udarbejdelse af materiale, men det er forventet, at arbejdsgruppen bidrager og er til rådighed under hele udarbejdelsesprocessen.

Overordnet ramme for arbejdsgruppen

Inden for de overordnede rammer af Virksomhedsforum for Digital Sikkerheds arbejde, skal arbejdsgruppen, der sætter fokus på IT-sikkerhed i ledelsen, have særligt fokus på at komme med anbefalinger til regeringen og erhvervslivet, som skal bidrage til et generelt løft af den digitale sikkerhed i dansk erhvervsliv, herunder styrke rammerne for den digitale sikkerhed.

Opgavebeskrivelse

Virksomheders ledelser har i dag ikke tilstrækkelig fokus på og viden om digital sikkerhed. De ser ofte ikke sig selv som værende i risiko for sikkerhedsbrud, og samtidig har de ofte udliciteret arbejdet med digital sikkerhed og ser det derfor i nogen tilfælde ikke som deres ansvar.

Arbejdsgruppens arbejde skal derfor være centreret omkring, hvordan vi kan sikre, at ledelsen i virksomheder har den nødvendige viden om og forståelse af virksomhedens digitale sikkerhed og risikoprofil. Der skal sættes fokus på, hvordan vi får ledelsen til at tage aktivt stilling til digital sikkerhed, da det kan have en afgørende betydning for virksomheders digitale sikkerhedsniveau.

Arbejdsgruppen skal derfor undersøge, hvordan vi kan styrke fokus på it-sik-kerhed hos ledelser og bestyrelser. Herunder kan der fx undersøges muligheden for at stille krav og sætte fokus på it-sikkerhed i de uddannelser, som ledelser og bestyrelser typisk tager.
Arbejdsgruppen skal bl.a. adressere:

  • Hvordan sikres forankring af cyber- og informationssikkerhed i ledelser, herunder i bestyrelser og direktioner?
  • Hvordan kan der skabes øget viden om digital sikkerhed på ledelsesniveau?
  • Hvordan sikres det, at ledelsen har de relevante kompetencer til at håndtere og italesætte digital sikkerhed og virksomhedens risikoprofil?
  • Er det muligt at stille krav om at sætte fokus på digital sikkerhed i ledelsen? Hvilke former for krav kan være en mulighed og lade sig gøre?

Øvrige mulige fokusområder:

  • Muligheden for at stille krav om at tegne en cyberforsikring i virksomheder. Hvad vil mulige effekter og byrder være?
  • Hvordan kan viden om digital sikkerhed inkluderes i de uddannelser og efteruddannelser, som ledelsen typisk tager?
  • Hvordan kan der sikres god kommunikation og skabes dialog om digital sikkerhed mellem ledelsen og IT-afdelingen? Hvordan kan det sikres, at IT-afdelingen kommunikerer til ledelsen i et sprog, som ledelsen forstår og kan forholde sig til, så der ikke går information og videndeling tabt?

Arbejdsgruppen skal derudover forholde sig til følgende tværgående emner:

  • Effektmåling: Hvilke KPI’er arbejdsgruppens indsats kan måles på?
  • Problemstilling: Hvilke anbefalinger og/eller konkrete aktiviteter skal arbejdet munde ud i?
  • Udbredelse: Hvordan implementeres og udbredes indsatsen til virksomhederne? Hvilke metoder kan der benyttes (fx adfærdsteori)?
  • Målgruppe: Hvilke virksomhedssegmenter skal anbefalingerne/aktiviteterne rettes mod, og hvordan målrettes indsatserne til de forskellige virksomhedssegmenter?
  • Ny National Strategi for Cyber- og Informationssikkerhed: Hvordan kan arbejdet i arbejdsgrupperne være med til at understøtte det virksomhedsrettede fokus i den nye strategi?

Retningslinjer for arbejdet i arbejdsgruppen

Der vil være en række arbejdsgruppemøder, som aftales og planlægges internt i arbejdsgruppen. Antallet af møder aftales internt i arbejdsgruppen. Tilsvarende med konkrete leverancer og deadlines.

Der vil minimum være en fra sekretariatet repræsenteret ved hvert arbejdsgruppemøde, som vil være til rådighed og understøtte arbejdet.
Hver arbejdsgruppe har en arbejdsgruppeformand, som er ordstyrer på møderne og kontaktperson for sekretariatet.

Arbejdsgruppen er tænkt som eksekverende, og medlemmerne er ansvarlige for at løfte gruppens formål og aktiviteter i egen organisation.

Arbejdsgruppen skal bidrage og assistere ved udarbejdelsen af de initiativer eller tiltag, som arbejdsgruppen ønsker at igangsætte. Det vil være sekretariatet, som står for den skriftlige udarbejdelse af materiale, men det er forventet, at arbejdsgruppen bidrager og er til rådighed under hele udarbejdelsesprocessen.

Overordnet ramme for arbejdsgruppen

Inden for de overordnede rammer af Virksomhedsforum for Digital Sikkerheds arbejde, skal arbejdsgruppen, der sætter fokus på et styrket offentligt-privat samarbejde, have særligt fokus på at komme med anbefalinger til regeringen og erhvervslivet, som skal bidrage til et generelt løft af den digitale sikkerhed i dansk erhvervsliv, herunder styrke rammerne for den digitale sikkerhed.

Opgavebeskrivelse

Mange SMV’er har et utilstrækkeligt niveau af digital sikkerhed, samtidig med at de udgør ca. 99 pct. af alle virksomheder og ofte er del af værdikæder til større virksomheder – også i samfundskritiske funktioner.

Udfordringerne er bl.a.:

  1. At virksomheder i dag videndeler i meget begrænset omfang
  2. Manglende digital robusthed i virksomhederne
  3. Manglende opmærksomhed på cyber- og informationssikkerhed og manglende forståelse for de trusler, virksomhederne står overfor.

Arbejdsgruppen skal styrke den digitale sikkerhed i SMV’erne ved at udvikle konkrete løsninger i både offentligt og privat regi.

Arbejdsgruppen skal derfor sætte fokus på, hvordan vi sikrer et godt offentligt-privat samarbejde ift. at løfte SMV’ernes digitale sikkerhedsniveau gennem videndeling og erfaringsudveksling mellem virksomheder og på tværs af aktører. Det kan bl.a. undersøges, hvordan man, fx via et partnerskab med D-mærket, kan hjælpe SMV’erne til at kortlægge deres sikkerhedsniveau og risikoprofil. Som en del af arbejdet i arbejdsgruppen, kan der yderligere sættes fokus på, hvorledes arbejdet kan spille ind i en mulig kommende cyberstrategi for SMV’er.

Arbejdet kan samle sig om et målbillede som dette:

  1. SMV’erne er i stand til at agere ift. cybersikkerhed, så de er bedre forberedte på angreb, herunder i stand til at foretage de nødvendige foranstaltninger for at sikre sig og være opmærksomme ift. digital sikkerhed.
  2. Digital sikkerhed er forankret i fællesskaber, der sikrer, at de medvirkende virksomheder fastholder fokus på sikkerheden.
  3. SMV’erne deler information om sikkerhedshændelser, så potentielt alle virksomheder og myndigheder varsles, og samfundets resiliens øges.
  4. Der er en operationel koordination omkring digital sikkerhed i SMV’erne med forbindelse til eksisterende og kommende initiativer for SMV’er.

Arbejdsgruppen kan igangsætte aktiviteter, som støtter op om det overordnede formål og målbilledet, f.eks. samarbejdsformer, hjælp til certificeringer, netværksaktiviteter, mm.

Mulige fokusområder:

  • Hvordan kan alle SMV’er opnå kendskab og tage stilling til deres sikkerhedsniveau og risikoprofil?
  • Hvilke måle- og risikovurderingsværktøjer er gode og håndgribelige for SMV’er?
  • Hvordan kan vi bruge og udnytte de data om hændelser, som vi allerede er i besiddelse af i dag, til at fokusere indsatsen?
  • Muligheden for at etablere en form for SMV-CERT, som skal styrke videndeling på tværs af aktører
  • Muligheden for at forummet kan komme med anbefalinger og støtte op om initiativet om en cyberhotline
  • Bidrage til udbredelsen af den nye mærkningsordning blandt SMV’er
  • Hvordan kan der skabes videndeling og erfaringsudveksling mellem virksomheder og på tværs af aktører?

Arbejdsgruppen skal derudover forholde sig til følgende tværgående emner:

  • Effektmåling: Hvilke KPI’er arbejdsgruppens indsats kan måles på?
  • Problemstilling: Hvilke anbefalinger og/eller konkrete aktiviteter skal arbejdet munde ud i?
  • Udbredelse: Hvordan implementeres og udbredes indsatsen til virksomhederne? Hvilke metoder kan der benyttes (fx adfærdsteori)?
  • Målgruppe: Hvilke virksomhedssegmenter skal anbefalingerne/aktiviteterne rettes mod, og hvordan målrettes indsatserne til de forskellige virksomhedssegmenter?
  • Ny National Strategi for Cyber- og Informationssikkerhed: Hvordan kan arbejdet i arbejdsgrupperne være med til at understøtte det virksomhedsrettede fokus i den nye strategi?

Retningslinjer for arbejdet i arbejdsgruppen

Der vil være en række arbejdsgruppemøder, som aftales og planlægges internt i arbejdsgruppen. Antallet af møder aftales internt i arbejdsgruppen. Tilsvarende med konkrete leverancer og deadlines.

Der vil minimum være en fra sekretariatet repræsenteret ved hvert arbejdsgruppemøde, som vil være til rådighed og understøtte arbejdet.

Hver arbejdsgruppe har en arbejdsgruppeformand, som er ordstyrer på møderne og kontaktperson for sekretariatet.

Arbejdsgruppen er tænkt som eksekverende, og medlemmerne er ansvarlige for at løfte gruppens formål og aktiviteter i egen organisation. Arbejdsgruppen skal bidrage og assistere ved udarbejdelsen af de initiativer eller tiltag, som arbejdsgruppen ønsker at igangsætte. Det vil være sekretariatet, som står for den skriftlige udarbejdelse af materiale, men det er forventet, at arbejdsgruppen bidrager og er til rådighed under hele udarbejdelsesprocessen.


Forummets anbefalinger og udtalelser

Input til den nye nationale strategi for cyber- og informationssikkerhed

Forummet afholdt sit første møde den 1. februar 2021, hvor et centralt punkt på 
dagsordenen var at give input til regeringens arbejde med den nye nationale
strategi for cyber- og informationssikkerhed. 

På den baggrund er Virksomhedsforum kommet med to klare anbefalinger til strategien:

  1. Lav en særskilt cyberstrategi for SMV’er
  2. Fokuser på at få etablerede initiativer ud at leve

Virksomhedsforum for Digital Sikkerhed (Virksomhedsforum) danner ram-men om en fælles indsats for at øge it-sikkerheden i dansk erhvervsliv og særligt blandt små og mellemstore virksomheder (SMV’er). Medlemmer af forummet er otte virksomhedsrepræsentanter, SMVdanmark, IT-Branchen, Dansk Erhverv, Dansk Industri, Finans Danmark, IDA og HK.

Virksomhedsforummet er en sammenlægning af ’Virksomhedsråd for it-sikkerhed’ og ’Erhvervspartnerskabet for øget it-sikkerhed’ med henblik på at få en mere strømlinet og effektiv virksomhedsrettet indsats på området.

Forummet afholdt sit første møde den 1. februar 2021. Et centralt punkt på dagsordenen var at give input til regeringens arbejde med den nye nationale strategi for cyber- og informationsstrategi.

Virksomhedsforummet støtter op om og viderefører hermed de anbefalinger, som tidligere er spillet ind til strategi for cyber- og informationssikkerhed fra ’Erhvervspartnerskabet for øget it-sikkerhed’, herunder styrket cyberefterforskning, opsætning af konkrete effektmål i strategien samt øget fokus på cyberkompetencer fra grundskole til voksenuddannelser (se bilag 1).

I den sammenhæng ønsker Virksomhedsforummet med dette notat at sætte fokus på to klare anbefalinger til strategien:

Lav en særskilt cyberstrategi for SMV’er

Den igangværende strategi for cyber- og informationssikkerhed har haft et stort fokus på de kritiske sektorer, herunder udvikling af sektorstrategierne. Dette er et vigtigt arbejde, som dog har skabt mindre rum for at understøtte det øvrige erhvervsliv. Mange SMV har et utilstrækkeligt niveau af digital sikkerhed, samtidig med at de udgør 98 pct. af alle virksomheder og ofte indgår i værdikæder til større virksomheder – også i samfundskritiske funktioner. SMV’ernes digitale sikkerhed udgør dermed en væsentlig trussel, men er samtidig også en stor mulighed for samlet at styrke Danmarks digitale robusthed. Virksomhedsforummet mener derfor, at SMV’er bør placeres mere solidt i den kommende strategi, gerne i form af en særskilt cyberstrategi for SMV’er.

En cyberstrategi for SMV’er vil skulle sætte rammen for et tæt offentlig-privat samarbejde om at udvikle og udbrede konkrete løsninger i både offentligt og privat regi. Strategien skal bl.a. udvikle løsninger baseret på virksomhedernes behov for videndeling og gennemføre tiltag, der kan øge virksomhedernes modstandskraft. En cyberstrategi for SMV’er vil efter Virksomheds-forummets opfattelse skabe de bedste muligheder for:

  • En høj prioritering af SMV-segmentets udfordringer
  • En særlig indsats for styrket videndeling og varsling om cybertrusler mv.
  • At arbejde videre med initiativer, der ikke er parate til at indgå i den overordnede strategi
  • At sætte strategiske målsætninger for arbejdet med SMV’ernes cybersikkerhed
  • At skabe politisk og vedvarende fokus på eksekvering af tiltag, der skal styrke SMV’ernes cybersikkerhed
  • At bidrage til udbredelsen af den nye mærkningsordning blandt SMV’er
  • At skabe det bedste samarbejde med Industriens Fonds cyberprogram
  • At give Virksomhedsforummet en ramme at arbejde ud fra

Da SMV’erne er en stor differentieret gruppe med mange forskellige behov, skal der være fokus på at udvikle tiltag, der er relevante for forskellige målgrupper. Fokus bør som udgangspunkt være på SMV’er, der ikke indgår i de samfundskritiske sektorer.

Fokuser på at få etablerede initiativer ud at leve

Der er med den igangværende strategi for cyber- og informationssikkerhed udviklet en lang række gode initiativer – vejledninger, værktøjer, hjemmesider mv. Men mange virksomheder kender og anvender dem fortsat ikke.

Det er Virksomhedsforummets anbefaling, at det i den kommende strategi skal være en væsentlig ambition at få de allerede etablerede initiativer udbredt bedre – få dem ”ud at leve”, fremfor at igangsætte endnu flere initiativer.

Det skal for eksempel ske gennem:

  • Styrket arbejde med én indgang for virksomhederne på informationsportalen sikkerdigital.dk
  • Øget fokus på barriererne for virksomhedernes anvendelse af de nuværende initiativer – vi skal sætte os bedre ind i virksomhedernes dagligdag og blive bedre til at forklare fordele og muligheder i øjenhøjde
  • Øget fokus på metoder til at skabe adfærdsændringer og ikke bare ’awareness’ blandt virksomhederne – mange virksomheder har svært ved at gå fra erkendelse af trusler til handling for at modstå disse
  • Øget brug af cases i vejlednings- og informationsmateriale
  • Øget brug af netværk, rollemodeller og opsøgende relationsarbejde i lokale erhvervsforeninger og -råd
  • Styrket samarbejde med erhvervshuse mv.
  • Etablering af flere målrettede brugerrejser, der er brugervenlige og skaber større sammenhæng mellem nuværende initiativer
  • Større og bedre videndeling om hændelser
  • Etablering af et centraliseret rådgivningsorgan

Virksomhedsforummets rolle

Virksomhedsforummet stiller sig gerne yderligere til rådighed som advisory board i udformningen af de pågældende indsatser.
I forummet nedsættes i første omgang tre arbejdsgrupper, der målrettet skal arbejde med ovenstående, under følgende overskrifter:

  1. Udbredelse af eksisterende værktøjer
  2. IT-sikkerhed i ledelsen
  3. Et styrket offentligt-privat samarbejde

Erhvervspartnerskabet for øget it-sikkerhed (Erhvervspartnerskabet) danner rammen om en fælles indsats for at fremme IT-sikkerheden i særligt små- og mellemstore virksomheder. I Erhvervspartnerskabet sidder de mest centrale erhvervsorganisationer på området: Dansk Industri, Dansk Erhverv,
SMVdanmark, Finans Danmark, IT-Branchen og Ingeniørforeningen IDA.

Erhvervspartnerskabet har løbende afholdt møder med henblik på at give input til regeringens arbejde med en ny national strategi for cyber- og informationsstrategi. Dette notat angiver Erhvervspartnerskabets anbefalinger opdelt efter strategiens fire overordnede temaer samt et indledende punkt med generelt:

  1. Generelt
  2. Ledelsesforankring og kompetencer
  3. Robusthed og resiliens
  4. Samarbejde og organisering
  5. Internationalt samarbejde og bidrag

Generelt

Det skal være muligt at påvise strategiens effekter

En generel anbefaling fra Erhvervspartnerskabet er, at der opstilles konkrete og målbare effektmål - frem for blot aktiviteter – så det er muligt at følge op på strategiens effekter. Man bør allerede fra strategiperiodens begyndelse beslutte hvilke effekter, der skal opnås, så man løbende kan evaluere om strategien opnår de tilsigtede effekter og justere på de tiltag, der ikke virker som ønsket (fx via årlige målinger). Derved kan man også sikre, at alle initiativer sigter mod at understøtte en eller flere af de ønskede effekter. Hvad angår virksomhederne, vil Erhvervspartnerskabet foreslå, at der måles på deres modenhed ift. digital sikkerhed. En særlig interessant målgruppe, der skal løftes, er de virksomheder, som ikke tager aktivt stilling til digital sikkerhed. F.eks. de 26 pct. af virksomhederne, der ikke har implementeret selv basale sikkerhedstiltag (backup af data og løbende opdatering af styresystemer), i Erhvervsstyrelsens analyse Digital sikkerhed i danske SMV’er fra 2020. De opnåede effekter bør endvidere formidles bredt, så der skabes gennemsigtighed omkring den kommende strategis resultatskabelse.

Der skal sikres synergier mellem igangværende og kommende NCIS

Det er Erhvervspartnerskabet anbefaling, at den kommende strategi beror på erfaringer fra den nuværende strategi og bygger videre på de initiativer, der fungerer godt. Det er blandt andet Erhvervspartnerskabets opfattelse, at mange er glade for informationsportalen Sikkerdigital – hvorfor det anbefales, at den kommende strategi fokuserer på at udvikle mere af samme skuffe. Erhvervspartnerskabet opfordrer desuden til erfaringsopsamling på tværs af de involverede myndigheder i den igangværende strategi med henblik på at evaluere og føre de gode erfaringer med over i den kommende strategi.

Der bør etableres én indgang for de virksomhedsrettede initiativer 

I forlængelse af ovenstående foreslår Erhvervspartnerskabet, at såvel eksisterende som nye virksomhedsrettede initiativer om digital sikkerhed samles på den eksisterende platform Sikkerdigital.dk, så virksomheder kan finde relevant vejledning, information mv. samlet ét sted. Sikkerdigital kan med fordel opbygges som en samlet brugerrejse, så virksomhederne bliver guidet naturligt videre til de relevante tilbud/informationer, hvis de fx har oplevet et it-sikkerhedsbrud. Det er ligeledes vigtigt, at der løbende arbejdes med at skabe et godt overblik over tilgængelige informationer på Sikkerdigital, så det er nemt for virksomhederne at finde de mest relevante informationer for dem.

SMV’erne i fokus

Den igangværende strategi for cyber- og informationssikkerhed har haft et stort fokus på de kritiske sektorer, herunder udvikling af sektorstrategierne. Erhvervspartnerskabet ser dette som et vigtigt arbejde, som dog har skabt mindre rum for at understøtte det øvrige erhvervsliv. Mange små og mellemstore virksomheder (SMV’er) har et utilstrækkeligt niveau af digital sikkerhed, samtidig med, at de udgør 98 pct. af alle virksomheder og ofte er del af værdikæder til større virksomheder – også i samfundskritiske funktioner. Erhvervspartner-skabet mener derfor, at den kommende strategi bør sætte et øget fokus på at styrke den digitale sikkerhed i SMV’erne. Erhvervspartnerskabets konkrete anbefalinger hertil uddybes under tema 3. Samarbejde og organisering.

Ledelsesforankring og kompetencer

Kompetencer inden for cyber- og informationssikkerhed skal løftes blandt borgere og virksomheder 

Det er fortsat en stor udfordring for virksomheder at finde de rette kompetencer inden for cyber- og informationssikkerhed. Erhvervspartnerskabet ser den kommende strategi som en oplagt mulighed for at tænke digital sikkerhed ind i det langsigtede uddannelsesforløb med henblik på at løfte den generelle forståelse for cybersikkerhed i befolkningen, og for at skabe et stærkere grundlag for at flere vælger at uddanne sig på området. Dvs. at tænke cybersikkerhed ind i hele kæden fra grundskolen, ungdomsuddannelserne og til voksenuddannelserne. I forhold til at løfte opmærksomheden på cybersikkerhed i den brede befolkning er en mulighed at tilbyde gratis e-læringsmoduler om cybersikkerhed, med inspiration fra det finske onlinekursus ”Elements of AI”, der har som mål at lære en bred gruppe af den finske befolkning om, hvad kunstig intelligens kan (https://www.elementsofai.com/). Derudover har ITU med støtte fra Industriens Fond udviklet gratis e-læringsforløb om it-sikkerhed målrettet SMV’er. Nogle af modulerne kan muligvis tilpasses og genbruges i en borgerrettet indsats (fx modul 1: forstå cyberstruslen og modul 6: undgå online svindel).

I forhold til at løfte kompetencerne i SMV’erne nu og her, handler det især om at skabe gode efteruddannelser og kursusudbud til medarbejdere, ledere og bestyrelser. Fx er bestyrelsesuddannelser i cyber- og in-formationssikkerhed en vigtig indsats ift. at få tænkt digital sikkerhed ind i virksomhederne. Et fokus bør derudover være på den uddannelse, som virksomhedslederne tager. F.eks. kan det konkret afdækkes hvilke uddannelser, som virksomhedslederne typisk har og sætte digital sikkerhed på dagsorden i disse. En anden mulighed er at undersøge hvilke efteruddannelser, som lederne tager og indsætte et modul om cybersikkerhed i disse for den vej at øge deres cyberforståelse og kompetencer. En eventuel indsats her kan bygge videre på eksisterende erfaringer fra f.eks. Bestyrelsesforeningens arbejde med projektet Strategiske cyberkompetencer.

Fokus på cyber- og informationssikkerhed skal løftes blandt ledelser og bestyrelser i danske virksomheder

At ledelsen tager aktivt stilling til digital sikkerhed, har afgørende betydning for virksomheders sikkerhedsniveau. Alligevel har mange ledelser og bestyrelser i danske virksomheder ikke et tilstrækkeligt fokus på digital sikkerhed. Som led i den kommende strategi bør man derfor se nærmere på hvilke muligheder, der er for at styrke ledelser og bestyrelsers fokus på digital sikkerhed. F.eks. ved at kortlægge mulighederne for at supplere det kompetenceopbyggende arbejde med andre strukturelle tiltag målrettet ledelser og bestyrelser, fx krav. I den forbindelse bør der sigtes mod, ikke at pålægge virksomhederne unødvendige byrder. Kortlægningen af de forskellige muligheder skal således indeholde en afvejning mellem potentielle (samfunds) gevinster målt op imod de omkostninger, det vil have for virksomhederne. Et øget fokus på digital sikkerhed i ledelser og bestyrelsers bør løftes i alle virksomheder – store som små. For selvom SMV’erne generelt har en lavere digital sikkerhed end de store virksomheder, kan et øget fokus på it-sikkerhed i de store virksomheder bidrage til at drive udviklingen og højne sikkerhedsbevidstheden i SMV’erne. F.eks. er mange SMV’er underleverandører til store virksomheder og udfører dermed væsentlige og forretningskritiske services på vegne af dem. Hvis store virksomheder således efterspørger høj it-sikkerheden fra deres leverandører, kan det bidrage til at gøre digital sikkerhed til et konkurrenceparameter og dermed skærpe fokus på it-sikkerhed blandt SMV’erne.

Behov for kontinuerlig awareness på digital sikkerhed

Der er brug for en kontinuerlig awarenessindsats, hvis virksomheder og borgere skal fastholde opmærksomheden på digital sikkerhed. Sikkerdigi-tal.dk indeholder en vigtig, bred vifte af materiale, men det er ikke nok at have en hjemmeside, som målgruppen muligvis ikke kender eller finder vej til. Erhvervspartnerskabet betragter løbende informationsindsatser og kampagner med skiftende temaer, som en central metode til at få borgere og virksomheder til at interessere sig for området og til at læse eksisterende materiale på informationsportaler, som fx Sikkerdigi-tal.dk, hvorfor den nuværende informationsindsats bør videreføres og styrkes. I forhold til at ramme virksomhederne har Erhvervspartnerska-bets god erfaring med at bruge virksomhedscases, som SMV’erne kan identificere sig med. Det er er et stærkt virkemiddel til at fange virksomhedsledernes opmærksomhed, som man med fordel kan tænke ind i den kommende strategi. Erhvervspartnerskabet vil ligeledes opfordre til, at der gennemføres løbende informationsindsatser, som kobles til konkrete initiativer i den kommende strategi.

Robusthed og resiliens

Der skal udvikles og formidles let tilgængelig hjælp til SMV’erne 

Erhvervspartnerskabet ser gerne, at den kommende strategi gør det nemt at være digital sikker. Blandt andet ved at udvikle og formidle let tilgængelige værktøjer til SMV’erne, der kan hjælpe dem med at forebygge sikkerhedsbrud. Det er Erhvervspartnerskabets opfattelse, at der allerede findes mange gode værktøjer og vejledninger udarbejdet i regi af den igangværende strategi, som man med fordel kan udbrede kendskabet til. I forbindelse med udvikling af nye værktøjer opfordrer Erhvervspartner-skabet til, at det først afdækkes, hvilke redskaber, som virksomhederne mangler og efterspørger. Eftersom mange SMV’er udliciterer deres it-sikkerhed til eksterne leverandører, opfordrer Erhvervspartnerskabet derudover til, at man i forbindelse med den kommende strategi ser på muligheden for, at virksomheder kan søge støtte til privat rådgivning til at løfte deres digitale sikkerhedsniveau – fx gennem SMV:Digital programmet.

Samarbejde og organisering

Udformning af en SMV-strategi

SMV’ernes opmærksomhed på digi-tal sikkerhed skal øges, og de skal have kendskab til og kunne handle på relevante trusler. Erhvervspartnerskabet foreslår derfor, at den kom-mende strategi for cyber- og informationssikkerhed etablerer et offentlig-privat samarbejde, der får til opgave at udforme en fælles strategi for at løfte det digitale sikkerhedsniveau i SMV’er. SMV’erne er som fælles-mængde en lige så vigtig gruppe at sætte fokus på som de samfundskriti-ske sektorer, hvorfor området bør håndteres med inspiration herfra. En SMV-strategi vil naturligvis adskille sig fra sektorstrategierne, da den i højere grad vil være retningssættende end forpligtende for den enkelte virksomhed, men på samme måde som sektorstrategierne vil SMV-strategien skulle sætte rammen for et tæt offentlig-privat samarbejde om at udvikle konkrete løsninger i både offentligt og privat regi. SMV-strategien skal bl.a. udvikle løsninger baseret på virksomhedernes behov for videndeling og gennemføre tiltag, der kan øge virksomhedernes mod-standskraft, fx sårbarhedsscanninger. En SMV-strategi vil efter Er-hvervspartnerskabets opfattelse skabe de bedste muligheder for:

  • En høj prioritering af SMV-segmentets udfordringer
  • At arbejde videre med initiativer, der ikke er parate til at indgå i den overordnede strategi
  • At sætte strategiske målsætninger for arbejdet med SMV’ernes cybersikkerhed
  • At skabe politisk fokus på SMV’ernes cybersikkerhed
  • At skabe det bedste samarbejde med Industriens Fonds cyber-program
  • At give det nye virksomhedsforum en ramme at arbejde ud fra

Da SMV’erne er en stor differentieret gruppe med mange forskellige be-hov, skal der være fokus på at udvikle tiltag, der er relevante for forskel-              lige målgrupper. Fokus bør som udgangspunkt være på SMV’er, der ikke indgår i de samfundskritiske sektorer.

Behov for styrket informationsindsamling og informationsudveksling 

Mange virksomheder og myndigheder er ikke gode nok til at dele erfaringer om digitale trusler, angreb og løsninger. F.eks. er der store mørketal betonet med it-sikkerhedshændelser, da mange virksomheder er tilbageholdende med at dele, hvis de har været udsat for en hændelse. Derfor er det svært at kvantificere antallet og omfanget af it-sikkerheds-hændelser. Erhvervspartnerskabet finder, at det offentlige kan spille en større rolle i at gøre det nemt at dele informationer og ligeledes skabe incitament til at dele viden om cybersikkerhedshændelser. Der opfordres til, at denne opgave løftes i regi af den kommende cyber- og informationsstrategi. Det er desuden Erhvervspartnerskabets opfattelse, at der findes meget brugbar viden om cybersikkerhed i brancher og organisationer, der i dag ligger usystematiseret og decentralt. Der ligger således et potentiale i at skabe nye indsigter på baggrund af akkumuleret viden. Et sted at starte er at få denne viden indsamlet og formidlet, så den bliver bragt til anvendelse på tværs af brancher. Dette handler først og fremmest om at skabe et overblik over, hvad der er vigtigt at indsamle viden om, og hvordan det konkret kan bruges. Store virksomheder, sikkerheds-firmaer og forskningsinstitutioner bør inddrages i denne vidensindsamling. Det er Erhvervspartnerskabets opfattelse, at denne opgave kun kan løses, hvis der afsættes substantielle ressourcer i staten, så opgaven prioriteres. Resultatet af denne informationsindsamling bør formidles på et lettilgængeligt sprog, så den også gavner SMV’erne. Dette arbejde kan eventuelt tænkes ind i den anbefalede SMV-strategi. Det er centralt at være opmærksom på, at der er en del danske virksomheder, som lever af at sælge denne form for oplysninger. Fx sikkerhedsfirmaer som sælger trusselsbilleder. Derfor bør eventuelle tiltag supplerer markedet frem for at agere som en konkurrent.

Internationalt samarbejde og bidrag

Flere ressourcer til opklaring af cyberangreb mod virksomheder

Politiet har i øjeblikket få ressourcer til at opklare cyberangreb mod virksomheder, til trods for at det ofte er meget ressourcekrævende. Derfor får mange virksomheder ikke opklaret hændelsen eller deres penge igen, hvis de f.eks. har været udsat for CEO-fraud, hvor svindlere franarre virksomheden penge ved at udgive sig som virksomhedens direktør. Erhvervspartnerskabet støtter derfor op omkring, at den kommende strategi afsætter flere ressourcer til Politiet til efterforskning af cyberkriminalitet.

Kontakt sekretariatet

Er du interesseret i at få specifikt indhold som en PDF-fil til print eller download, er du velkommen til at kontakte sekretariatet.