Fødevarer

Konsulenthus advarer om cybersikkerhed: "Nu kommer regningen"

Særligt blandt mindre virksomheder er der mange, som ikke er klar til direktivet og risikerer millionbøder. Man kan ikke sidde på hænderne, siger partner i PWC, der nu kommer med sine anbefalinger.
Med det nye direktiv omfattes ikke kun fødevareproducenterne - det gælder hele værdikæden, fortæller Mads Nørgaard Madsen, partner i PWC: ”Basalt set handler det om, at samfundet skal sikres mælk i supermarkedet – og der skal hele fødekædens tages in mente. Man skal altså også sikre, at bønderne kan levere til mælkeproducenten." | Foto: Pr / Pwc
Med det nye direktiv omfattes ikke kun fødevareproducenterne - det gælder hele værdikæden, fortæller Mads Nørgaard Madsen, partner i PWC: ”Basalt set handler det om, at samfundet skal sikres mælk i supermarkedet – og der skal hele fødekædens tages in mente. Man skal altså også sikre, at bønderne kan levere til mælkeproducenten." | Foto: Pr / Pwc
af SIMONE SCHEUER-HANSEN

Mange fødevarevirksomheder står med udsigten til nyt cybersikkerhedsdirektiv fra EU over for en omfattende oprustningsopgave, og det kan kun gå for langsomt om at komme i gang. 

Det er budskabet fra Mads Nørgaard Madsen, partner i PWC og leder af teknologi- og sikkerhedsdivisionen i konsulenthuset, der nu kommer med deres anbefalinger til de mange fødevarevirksomheder, som står til at blive omfattet af direktivet.

”Der ligger en stor opgave foran dem,” siger Mads Nørgaard Madsen og uddyber:

”Vi så det, da NIS1-direktivet ramte energisektoren; selv her var det en kæmpe opgave for selskaberne. Det nye direktiv omfatter også de mindre virksomheder, og jeg tror ikke, de er klar over, hvad der rammer dem.”

Samme konklusion kan uddrages af en undersøgelse fra Industriens Fond, der tilbage i april viste, at to ud af tre danske virksomheder ikke er klar til at imødekomme de nye EU-regler og dermed står over for potentielle millionbøder, når NIS2-direktivet i 2024 træder i kraft. 

I alt står mere end 1000 virksomheder til at blive omfattet af de nye cybersikkerhedsregler, der er en udbygning af det eksisterende NIS1-direktiv - og fødevarebranchen er en af de to brancher, hvor flest forventes at blive underlagt de nye, strammere sikkerhedskrav.

 

Stort behov taget aktiviteten i betragtning

Ifølge Mads Nørgaard Madsen er det i særdeleshed de små og mellemstore virksomheder, der udgør en bekymring, idet det hovedsageligt er dem, der ikke allerede har påbegyndt et større arbejde med cybersikkerheden, som man har i mange større fødevarevirksomheder.

”Mange virksomheder bliver omfattet af direktivet, eftersom det gælder for virksomheder med helt ned til 50 ansatte. Med andre ord er det små virksomheder, der pludselig skal forholde sig til noget abstrakt sikkerhedsmæssigt, der er langt fra deres hverdag som mælkeproducenter, eller hvad de nu laver,” siger han og fortsætter:

”Det er et stort skifte, men det er det, der skal til. Hvis man skal være lidt hård, er det her jo egentlig noget, de små virksomheder burde have gjort for mange år siden. Det er en gæld, der har ophobet sig – og nu kommer regningen.”

Med det henviser Mads Nørgaard Madsen til, at det ikke altid ligger højt på prioriteringslisten blandt virksomhederne, som derfor heller ikke altid gør det af egen fri vilje.

”Det er lidt det samme som med sikkerhedsselen i bilen. Folk havde nok ikke brugt den, hvis ikke det var et lovkrav,” siger han.

Mads Nørgaard Madsen understreger, at man ikke kan skære alle over en kam, og at der selvfølgelig er virksomheder, der allerede har direktivet for øje. 

”Men vi kan bare se, at antallet af cyberhændelser de seneste år har været ganske konstant, selv om virksomheder har foretaget investeringer i sikkerhed. Det er bare ikke nok, og de kriminelle bliver derfor ved med at være foran. Det er et kapløb, hvor virksomhederne ikke rigtig er kommet fra start endnu,” siger han og henviser til PwCs årlige cyberundersøgelse, hvor konsulenthuset tager pulsen på cyberhændelser i erhvervslivet.

I 2022 svarede 51 pct. af de adspurgte virksomheder, at de i det seneste år har været udsat for mindst én sikkerhedshændelse. Ikke siden 2018 har andelen ligget under 50 pct. 

”Der er generelt rigtig mange hændelser i Danmark. De sidste seks-syv år, hvor vi har lavet undersøgelsen, har det nærmest været hver anden danske virksomhed, der har haft en eller anden form for cyberhændelse. Aktiviteten er stor,” siger Mads Nørgaard Madsen. 

Stadig realistisk at nå i mål

Spørger man Mads Nørgaard Madsen, har man med det nye cybersikkerhedsdirektiv den fordel, at man kan trække på de erfaringer, man fik fra implementeringen af NIS1-direktivet fra 2016.

Han henviser blandt andet til, at der i dag findes gode rammeværk i branchen, som man kan læne sig op af, ligesom der med det nye direktiv ikke er nogle ”mærkelige krav indbygget.”

”Formålet er sådan set det samme i NIS1 og NIS2; at man skal have god sikkerhed. Forskellen er bare, at man som virksomhed nu ikke selv kan vælge, om man har lyst til at lave foranstaltninger. Du skal, hvis virksomheden er omfattet af direktivet,” siger Mads Nørgaard Madsen.

Er det realistisk, at virksomhederne når i mål, inden direktivet træder i kraft?

”Det vil jeg stadig mene, ja. Jeg tror ikke, de når til et sted, hvor de kan sige, at det hele er, som det skal være – man kan altid diskutere, om man nogensinde når det niveau, når man taler cybersikkerhed. Men de mindre virksomheder har trods alt et mindre komplekst IT-landskab, så alt andet lige er den del af opgaven også nemmere for dem.”

Mange virksomheder risikerer bøder med nye EU-regler for cybersikkerhed

Det vigtigste er, siger Mads Nørgaard Madsen, at virksomhederne hurtigt får sat processerne i gang. 

”Du kan i hvert fald ikke sidde på hænderne som direktør i en fødevarevirksomhed,” siger han.

Forudser store ekstraudgifter de første år

Sidder man på hænderne for længe, er det da også med risiko for bøder i millionklassen. I hvert fald er der lagt op til, at de virksomheder, der ikke følger det nye, omfattende regelsæt, kan pålægges store bøder. 

Ifølge Mads Nørgaard Madsen er bøderne dog en god måde at give virksomhederne incitament til at gå i gang med arbejdet, hvorfor han også tror, at NIS2-direktivet får en langt større operationel indvirkning, end eksempelvis GDPR havde, da det tilbage i 2018 blev indført. 

”I mine øjne gav det udelukkende et ryk på den juridiske side, og der blev brugt millioner af kroner på noget ret banalt, mens man ikke rørte ved alt det tekniske – det, der er svært at sikre,” siger han og nævner som eksempel krypterede mails:

”Der er ikke blevet givet bøder, der har gjort, at virksomhederne har brugt ekstra krudt på den slags.”

Med direktivet følger foruden risikoen for millionbøder også væsentligt øgede udgifter til cybersikkerhed for mange fødevarevirksomheder.

Gennemsnitligt står virksomhederne ifølge EU-kommissionen over for en ekstraregning på 22 pct. i løbet af de første år efter direktivets implementering - og for nogle kan den regning meget vel vise sig at blive endnu større, siger Mads Nørgaard Madsen.

Ifølge ham handler det derfor om at få en forståelse af, hvor stor eller lille en opgave, man som virksomhed står over for, så man kan ”gøre tingene smartere”:

”Virksomhederne skal kigge på, hvordan markedet ser ud, og hvilke muligheder der er for løsninger. Første skridt er dog at se på, hvor ens virksomhed selv er henne sikkerhedsmæssigt, og hvad den modenhed er.”

NIS2-direktivet forventes at være fuldt implementeret på tværs af EU-landene i slutningen af 2024.

Del artikel

Relaterede artikler

Tilmeld dig vores nyhedsbrev

Vær på forkant med udviklingen. Få den nyeste viden fra branchen med vores nyhedsbrev.

Nyhedsbrevsvilkår

Forsiden lige nu

Læs også

Coop frasælger en række butikker og rydder op i organisationen med en bl.a. fyringer af administrative medarbejdere. | Foto: Finn Frandsen/Ritzau Scanpix.

Coop sælger 35 og lukker 19 butikker

For abonnenter

Job