Flere end 1.000 danske virksomheder rammes af nye skrappe cyberkrav
En ny undersøgelse fra Industriens Fond giver et mere præcist billede af, hvor mange virksomheder, der bliver direkte omfattet af nye cybersikkerhedsregler fra EU. Men det reelle antal bliver langt højere, vurderer ekspert.
Særligt fire sektorer i dansk erhvervsliv rammes hårdt, når nye skrappe cybersikkerhedsregler fra EU træder i kraft.
Det viser en ny undersøgelse fra Industriens Fond, der konkluderer, at i alt 1.079 virksomheder i første omgang bliver direkte omfattet af det såkaldte NIS2-direktiv, der truer virksomheder, som ikke følger det omfattende regelsæt, med bøder i millionklassen.
Direktivet dikterer således massiv opstramning på it-sikkerhedsområdet for de virksomheder, der opfattes som værende af særlig samfundskritisk betydning. Og selvom nogle sektorer altså rammes ekstra hårdt, kommer reglerne til at ramme bredt på tværs af hele erhvervslivet.
Det vurderer Malene Stidsen, der er programchef for cybersikkerhed i Industriens Fond.
»Det vil føre til en øget investering i cybersikkerhed. Det synes jeg ikke nødvendigvis er skidt. Men jeg håber meget, at man kan gøre det på en måde, så man får gennemført nogle it-sikkerhedsinvesteringer, der er målrettet og passende, så det ikke bliver en panikhandling lige før lukketid.«
IDC, et analysehus, har tidligere vurderet, at de ekstra investeringer i 2025 kommer til at beløbe sig til 2,5 mia. kr. for de omfattede virksomheder, og her må særligt fire sektorer altså holde for. Samlet udgør de nemlig omkring 70 pct. af det totale antal virksomheder.
Det drejer sig om sektoren ”digital infrastruktur”, hvilket dækker over blandt andet it- og teleselskaber. Her bliver 225 virksomheder ramt, mens kravene omfatter 193 virksomheder indenfor henholdsvis energi- og fremstillingssektoren. Den sidste af de fire sektorer er fødevaresektoren. Her skal 154 virksomheder i første omgang leve op til NIS2-reglerne.
Da Finans spurgte rundt i netop fødevarebranchen sidste år, mens reglerne var på vej igennem EU-maskinen, vakte det ikke meget genklang hos en virksomhederne.
»Det tror jeg ikke, at der er ret mange, der har forholdt sig til, hvis jeg skal være ærlig. Det tror jeg simpelthen ikke. Jeg har ikke hørt direktivet omtalt. Jeg har hørt om det internt hos os men ikke eksternt,« sagde Elo Høgh Bromer, it-direktør hos Danish Crown, dengang.
Det er dog langtfra kun de udpegede 1.079 virksomheder, der skal være opmærksomme på at overholde de nye regler.
Helt centralt i NIS2-direktivet fremgår det nemlig, at omfattede virksomheder er ansvarlige for, at deres underleverandører også overholder direktivet.
Det betyder, at det reelle antal af virksomheder, der kommer til at forholde sig til NIS2-direktiver, mangedobles, vurderer Malene Stidsen.
»Der er ringe i vandet eller en dominoeffekt, alt efter hvad temperamentet tilsiger. Der vil være markant flere virksomheder, der bliver ramt af det her.«
Det giver Jan Lemnitzer, der er lektor på Copenhagen Business School og beskæftiger sig med NIS2-direktivet, Stidsen ret i.
»Det er ikke kun et spørgsmål om, hvorvidt man selv er omfattet af NIS2-reglerne. Det er også et spørgsmål om, hvorvidt man er leverandør til en virksomhed, der er omfattet. Hvis man tager de her 1.079 virksomheder og så kigger i næste lag på, hvor mange virksomheder, der er leverandører til de her virksomheder, kan man se, hvor stor den sekundære effekt bliver,« siger han.
Han hæfter sig særligt ved, at de udpegede virksomheder beskæftiger 350.000 medarbejdere. Det indikerer ifølge Jan Lemnitzer, at der er tale om store selskaber, hvilket ifølge lektorens logik medfører et stort felt af underleverandører, der risikerer at blive smidt på porten, hvis ikke de også lever op til kravene.
»På grund af reglerne om forsyningskæderne skal en virksomhed, der skal leve op til NIS2-reglerne, kræve visse ting af sine leverandører. De kommer til at bede dem om at demonstrere deres parathed, deres standarder og deres dokumentation,« forklarer Jan Lemnitzer.
Hos Industriens Fond håber man, at undersøgelsen vil få virksomheder til at gå i gang med at undersøge, hvorvidt de er omfattet af reglerne samt begynde det omfattende arbejde med at foretage de nødvendige investeringer i øget sikkerhed.
Men i takt med at tiden går, er der sandsynligvis kun en virksomhedsgruppe, der kommer til at juble, lyder vurderingen fra Jan Lemnitzer.
»Hvis 1.079 virksomheder på samme tid finder ud af, at de har brug for konsulenter udefra til at forberede dem på arbejdet med NIS2, så er det ikke mærkeligt, at når jeg taler med konsulenterne, elsker de NIS2.«
Reglerne forventes fuldt implementeret ved udgangen af 2024.
