Danish Crown melder sig klar til skrappe it-sikkerhedskrav: »Vi bygger vores borg højere, tættere og stærkere«

3 kommentarer.  Hop til debatten
danish crown
Illustration: Danish Crown.
Det nye EU-direktiv, NIS2, der skærper kravene til danske virksomheders cybersikkerhed, stresser ikke Elo Høgh Bromer, der er CIO hos Danish Crown og allerede har stort fokus på sikkerheden. Men han bekymrer sig på de mellemstore virksomheders vegne.
20. maj kl. 10:00
errorÆldre end 30 dage

Skrappere krav til risikoanalyser, hændelseshåndtering, værdikædesikkerhed og sikkerhed i forbindelse med anskaffelse af netværk og it-systemer. 

Det nye NIS2-direktiv, der står over for at blive vedtaget, efter Europa-Parlamentet, Ministerrådet og EU-Kommissionen i fredags blev enige om en aftale, kommer til at betyde skærpede it-sikkerhedskrav for danske virksomheder. Og ved overtrædelse af direktivets krav kan straffen være bøder svarende til op mod 2 procent af virksomhedens globale omsætning eller 10 millioner euro. 

»Det er ikke bøden, der motiverer os det er jo for vores egen skyld,« siger Elo Høgh Bromer, der er CIO hos Danish Crown, og fortsætter:

»Det er godt med fokus på det her område, men man kan diskutere rimeligheden af bødestørrelsen. Jeg ville nok foretrække, man brugte gulerod i stedet for pisk.«

Artiklen fortsætter efter annoncen

Den store danske slagteri- og fødevarevirksomhed var ikke omfattet af det første NIS-direktiv, der blev implementeret i Danmark i 2018 samtidig med den nye persondataforordning, men i det reviderede direktiv, NIS2, udvides omfanget af virksomheder, der bliver omfattet af reglerne.

Det sker på baggrund af et ønske om at beskytte de virksomheder, der har betydning for EU’s infrastruktur og dertilhørende forsyningskæde. 

Derfor skal mellemstore og store private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren til at forholde sig til cybersikkerhed på et nyt plan.

Vigtig kæde

Selvom Elo Høgh Bromer mener, at bødestraffens rimelighed kan diskuteres, er han helt på linje med nødvendigheden af det nye EU-direktiv, der skal være implementeret senest 21 måneder efter den endelige vedtagelse, som er lige på trapperne.

»Hvis vi ikke kan producere fødevarer, kommer der hurtigt til at mangle produkter på hylderne,” som han siger. Og cybersikkerhed er da heller ikke en sjælden eksotisk fugl hos det danske slagteri.

»Vi arbejder allerede med det, så vi ser ikke, der er noget problematisk i, at vi snart skal leve op til de nye regler. For os er det lige ud af landevejen – og i modsætning til GDPR, hvor det ikke er alt, der har givet mening for os, så er det her jo for at sikre os selv,« mener Danish Crowns CIO og supplerer:

»Vi har allerede steppet op, og inden for de seneste år har vi næsten fordoblet vores ressourcer på det her område. Vi har en størrelse og et risikobillede, der gør, at vi bliver nødt til at være beredte, så vi er naturligt lidt på forkant og hele tiden i gang med at bygge vores borg højere, tættere og så stærk som mulig. Problemet er, at de så bare går over og angriber naboen. Men det kan de nye regler dæmme op for,« håber Elo Høgh Bromer.

Han mener også, at NIS2-direktivet kan gøre det nemmere for Danish Crown at stille krav ud i leddene til leverandørerne, som forretningen for eksempel er afhængig af, når det kommer til transport af dyr og affald.

»Det er jo vigtigt, at det hele hænger sammen, og hvis de bliver udsat for cyberangreb og ikke kan fungere, går det jo også ud over os.«

Det gælder om at komme i gang

Elo Høgh Bromer kan derfor godt være lidt bekymret for, at direktivet og kravene til den hurtige implementering kan blive svært for mellemstore virksomheder, der måske ikke har så meget fokus på it-sikkerhed i forvejen og ikke har ressourcerne til at sikre forretningen hele vejen rundt. 

»Det nytter ikke noget at bygge noget fint på toppen, hvis man mangler et stærkt fundament. Så mit råd til mellemstore virksomheder, der står til at blive omfattet af NIS2, er at komme i gang. De skal søge råd og vejledning og få kigget på det her område af nogen, der har ekspertisen. Ofte kan man genbruge fra lignende virksomheder eller lægge sig op ad nogle standarder,« mener CIO’en.

Selv lader han sig ikke stresse, men indrømmer, at det nye direktiv kommer til at betyde, at Danish Crown må ændre lidt i deres økonomiske prioriteringer. Og EU-kommissionen forventer da også en stigning på 22 procent i udgifter til it-sikkerhed for de nye sektorer, som fødevarebranchen, der bliver omfattet af det reviderede NIS-direktiv.

»Det kommer til at koste os en smule ekstra, at vi lige tager et ekstra skridt. Der er enkelte områder, vi skal fokusere mere på, men i bund og grund er de nye regler jo bare sund fornuft og tiltag, som vi i forvejen havde i pipeline,« fortæller Elo Høgh Bromer.

3 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
21. maj kl. 01:17

Hvis vi ikke kan producere fødevarer, kommer der hurtigt til at mangle produkter på hylderne,

At en enkelt producent eller to bliver slået ud gør næppe at Europæerne kommer til at sulte. Det er som han siger for deres egen skyld, og EU's facistiske tilgang er totalt overkill.

3
22. maj kl. 09:57

At en enkelt producent eller to bliver slået ud gør næppe at Europæerne kommer til at sulte.

I USA går mødre der forgæves efter modermælkserstatning lige nu pga. 1 værk er lukket ned.

2
21. maj kl. 11:40

Det han, siger er vel lidt det samme som når man køber en tyveri alarm.

"Jeg kan ikke forhindre nogen i at bryde ind, men jeg kan gøre det så besværligt at tyven vælger naboen."

Jeg tænker så også at sådan et firma har en del "mellemstore" virksomheder som underleverandører så der giver vel god mening at opfordre til at også de beskytter sig.

Hvis en underleverandør "går ned" så kan det nok også godt på sigt stoppe deres produktion.