Danish Crown melder sig klar til skrappe it-sikkerhedskrav: »Vi bygger vores borg højere, tættere og stærkere«
Skrappere krav til risikoanalyser, hændelseshåndtering, værdikædesikkerhed og sikkerhed i forbindelse med anskaffelse af netværk og it-systemer.
Det nye NIS2-direktiv, der står over for at blive vedtaget, efter Europa-Parlamentet, Ministerrådet og EU-Kommissionen i fredags blev enige om en aftale, kommer til at betyde skærpede it-sikkerhedskrav for danske virksomheder. Og ved overtrædelse af direktivets krav kan straffen være bøder svarende til op mod 2 procent af virksomhedens globale omsætning eller 10 millioner euro.
»Det er ikke bøden, der motiverer os – det er jo for vores egen skyld,« siger Elo Høgh Bromer, der er CIO hos Danish Crown, og fortsætter:
»Det er godt med fokus på det her område, men man kan diskutere rimeligheden af bødestørrelsen. Jeg ville nok foretrække, man brugte gulerod i stedet for pisk.«
Den store danske slagteri- og fødevarevirksomhed var ikke omfattet af det første NIS-direktiv, der blev implementeret i Danmark i 2018 samtidig med den nye persondataforordning, men i det reviderede direktiv, NIS2, udvides omfanget af virksomheder, der bliver omfattet af reglerne.
Det sker på baggrund af et ønske om at beskytte de virksomheder, der har betydning for EU’s infrastruktur og dertilhørende forsyningskæde.
Derfor skal mellemstore og store private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren til at forholde sig til cybersikkerhed på et nyt plan.
Vigtig kæde
Selvom Elo Høgh Bromer mener, at bødestraffens rimelighed kan diskuteres, er han helt på linje med nødvendigheden af det nye EU-direktiv, der skal være implementeret senest 21 måneder efter den endelige vedtagelse, som er lige på trapperne.
»Hvis vi ikke kan producere fødevarer, kommer der hurtigt til at mangle produkter på hylderne,” som han siger. Og cybersikkerhed er da heller ikke en sjælden eksotisk fugl hos det danske slagteri.
»Vi arbejder allerede med det, så vi ser ikke, der er noget problematisk i, at vi snart skal leve op til de nye regler. For os er det lige ud af landevejen – og i modsætning til GDPR, hvor det ikke er alt, der har givet mening for os, så er det her jo for at sikre os selv,« mener Danish Crowns CIO og supplerer:
»Vi har allerede steppet op, og inden for de seneste år har vi næsten fordoblet vores ressourcer på det her område. Vi har en størrelse og et risikobillede, der gør, at vi bliver nødt til at være beredte, så vi er naturligt lidt på forkant og hele tiden i gang med at bygge vores borg højere, tættere og så stærk som mulig. Problemet er, at de så bare går over og angriber naboen. Men det kan de nye regler dæmme op for,« håber Elo Høgh Bromer.
Han mener også, at NIS2-direktivet kan gøre det nemmere for Danish Crown at stille krav ud i leddene til leverandørerne, som forretningen for eksempel er afhængig af, når det kommer til transport af dyr og affald.
»Det er jo vigtigt, at det hele hænger sammen, og hvis de bliver udsat for cyberangreb og ikke kan fungere, går det jo også ud over os.«
Det gælder om at komme i gang
Elo Høgh Bromer kan derfor godt være lidt bekymret for, at direktivet og kravene til den hurtige implementering kan blive svært for mellemstore virksomheder, der måske ikke har så meget fokus på it-sikkerhed i forvejen og ikke har ressourcerne til at sikre forretningen hele vejen rundt.
»Det nytter ikke noget at bygge noget fint på toppen, hvis man mangler et stærkt fundament. Så mit råd til mellemstore virksomheder, der står til at blive omfattet af NIS2, er at komme i gang. De skal søge råd og vejledning og få kigget på det her område af nogen, der har ekspertisen. Ofte kan man genbruge fra lignende virksomheder eller lægge sig op ad nogle standarder,« mener CIO’en.
Selv lader han sig ikke stresse, men indrømmer, at det nye direktiv kommer til at betyde, at Danish Crown må ændre lidt i deres økonomiske prioriteringer. Og EU-kommissionen forventer da også en stigning på 22 procent i udgifter til it-sikkerhed for de nye sektorer, som fødevarebranchen, der bliver omfattet af det reviderede NIS-direktiv.
»Det kommer til at koste os en smule ekstra, at vi lige tager et ekstra skridt. Der er enkelte områder, vi skal fokusere mere på, men i bund og grund er de nye regler jo bare sund fornuft og tiltag, som vi i forvejen havde i pipeline,« fortæller Elo Høgh Bromer.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
