Nye krav til cybersikkerhed sender milliardregning videre til danske virksomheder

Danske virksomheder skal sætte langt flere penge af til cybersikkerhed i de kommende år.

Udgifterne til it-sikkerhed herhjemme vil nemlig frem mod 2025 tage et milliardhop som resultat af blandt andet et sæt nye EU-regler ved navn NIS2, der stiller strenge cyberkrav til hundredtusindvis af virksomheder på tværs af Europa - og dermed også i Danmark.

Analysehuset IDC forventer derfor en stigning i udgiften til it-sikkerhed i Danmark på tæt ved 10 pct. om året frem mod 2025. Det giver en samlet ekstraregning i 2025 på mere end 2,5 mia. kr.

»Vi ved helt sikkert, at virksomhederne vil være nødt til at gøre mere og derfor investere mere for at sikre, at de lever op til NIS2-reglerne,« fortæller Jan Horsager, der er research director hos IDC Nordic.

Markedet dækker både den offentlige og den private sektor, men der er ingen tvivl om, at en stor del af regningen skal betales af de mange virksomheder, der nu bliver omfattet af reglerne. Der skal nemlig være helt styr på både den konkrete it-sikkerhed, interne sikkerhedspolitikker og indberetning af hændelser, hvis man kommer under angreb.

»Virksomhederne skal have indhentet noget, man har forsømt, når det kommer til it-sikkerhed. Det er derfor, man stiller nogle krav. Men dette er unikt, fordi det bunder i sammenhængen mellem den digitale transformation, der sker i samfundet, og de krav, vi stiller til virksomhederne, der er væsentligst at fokusere på. Der er slet ikke nogen tvivl om, at dette er et skifte, som vi ikke har set før,« siger Jan Horsager.

Fra EU-Kommissionens side forventer man, at virksomheder, der nu bliver omfattet af reglerne, skal investere 22 pct. mere i deres it-sikkerhed, end det er tilfældet i dag. Det gælder blandt andet for fødevareindustrien, der er blandt de udvalgte sektorer.

»Det tror jeg ikke, at der er ret mange, der har forholdt sig til, hvis jeg skal være ærlig. Det tror jeg simpelthen ikke. Jeg har ikke hørt direktivet omtalt. Jeg har hørt om det internt hos os men ikke eksternt,« siger Elo Høgh Bromer, der er it-direktør hos Danish Crown, hvor man allerede nu er begyndt at gøre sig parat til at overholde de nye regler.

Den øgede investering skal bruges på at polstre virksomhederne, så de undgår at ramle ind i direktivets heftige sanktioner. Virksomheder, der ikke overholder reglerne, kan nemlig se frem til en klækkelig bøde på op til 2 pct. af den globale omsætning eller 10 mio. euro (ca. 75 mio. kr.).

Alligevel melder en række af landets største fødevarevirksomheder pas, når det kommer til det nye regelsæt.

Finans har været i kontakt med en række virksomheder med tilknytning til fødevarebranchen, og her er reaktionerne vidt forskellige.

Hos brødvirksomheden Lantmännen har NIS2-direktivet givet de første blink på radaren.

»Vi som fødevarevirksomhed forventer at blive omfattet, men vi kender endnu ikke den endelige ordlyd af EU-direktivet. Efter den formelle ikrafttræden skal direktivet behandles af det danske folketing for at udmønte sig i national lovgivning. Så selvom vi er i gang med at skabe os et overblik og få styr på reglerne, kan vi ikke på nuværende tidspunkt være konkrete om, hvordan det kan komme til at påvirke vores forretning,« lyder det fra kommunikationschef Tine Greve i et skriftlig svar.

Hos andre virksomheder er der ingen eller meget lidt aktivitet i de overvågningssystemer, der skal advare om reguleringsmæssige isbjerge forude.

Hos Stryhns, der i årtier har haft fast plads i de danske madpakker, vil man slet ikke kommentere, hvordan man forholder sig til de nye regler. Det samme gælder for Danpo, der årligt slagter omkring 50 millioner kyllinger herhjemme.

Hos mejerigiganten Arla kaldte man det først »uklart«, hvorvidt man bliver omfattet af reglerne. Men den udmelding har ændret sig de seneste dage. Nu er man blevet klar over, at man bliver omfattet af direktivet.

Ingrediensvirksomheden Chr. Hansen har på nuværende tidspunkt heller ikke fuld klarhed over, om virksomheden bliver omfattet af reglerne eller ej.

Men den tilgang er håbløs, mener Jan Lemnitzer. Han er adjunkt på Copenhagen Business School (CBS) og forsker til dagligt i cybersikkerhed.

»Det er fuldstændigt som forventet. Folk stikker hovedet i busken. Reglerne siger tydeligt, at hvis man er involveret i produktion eller distribution af fødevarer, er man omfattet,« siger han.

Samme faste konklusion når Jens Grønkjær Sjøland Pihl, der er partner hos advokatvirksomheden Horten, frem til.

»Det er lidt som med GDPR. Mange sidder og venter på, hvad de andre gør,« siger han og slår fast:

»Der er ikke noget tvivlsspørgsmål. Jeg har i hvert fald svært ved at se det.«

Han mener, at reglerne er klare, og at langt de fleste fødevarevirksomheder bliver omfattet, såfremt de ikke er meget små eller har en begrænset omsætning.

Omvendt peger han på, at selvom der er mange lighedstegn med GDPR-reglerne, er modenheden på et andet niveau i dag. Det vil give bedre betingelser for, at virksomhederne lever op til NIS2-reglerne.

»Virksomhederne burde have fokus på dette og skal allerede have fokus på det nu. NIS2-direktivet er så bredt, at jeg som virksomhed ville være meget tilbageholdende med at sige, at det ikke gælder en. Som minimum skal man ind og se på, hvilke sektorer der er omfattet af NIS2 og vurdere, om man hører ind under dem.«

Tilbage hos Danish Crown er Elo Høgh Bromer nået frem til en klar konklusion. Han kan ikke se, hvordan slagterigiganten, der omsætter for knap 60 mia. kr. om året og har 26.000 ansatte, kan slippe udenom.

Derfor er et større arbejde iværksat med fokus på adgangsrettigheder til systemerne, logning af aktiviteter og generel awareness-træning af medarbejderne. Men selvom han har travlt med at holde sit eget hus, har han en opfordring til andre virksomheder.

»Jeg mener, at det er klogest at kigge på det og få en ordentlig vurdering. Ellers skubber man bare problemet foran sig, og så finder man ud af om et helt eller et halvt år, at man er omfattet, og så er tidshorisonten væsentlig kortere.«