Over 1.400 danske virksomheder står til at blive ramt af det kommende NIS2-sikkerhedsdirektiv fra EU, hvilket vil kræve samlede it-investeringer på op til 448 mio. kr.
Sikkerhedskravene fra EU bliver meget skrappere i fremtiden, og med det nye EU-direktiv, NIS2, kan det også ende med at blive en dyr omgang for rigtig mange danske virksomheder.
Dog menes meget få af disse virksomheder at være klar over de regler, de står til at blive underlagt, og det kan føre til millionstore bøder, hvis de ikke lever op til kravene. omkring 1400 danske virksomheder skal implementere de nye krav inden medio 2024, da de bliver karakteriseret som kritisk infrastruktur.
Tidligere har blot 130 danske virksomheder været en del af den kritiske danske infrastruktur.
”NIS2 har mange gode elementer, da vi pga. digitaliseringen af samfundet også naturligt får flere virksomheder, der bliver kritiske for Danmark. Men mange af de 1.400 virksomheder ved sandsynligvis ikke, at de pludselig er blevet en del af Danmarks kritiske infrastruktur. De står nu overfor massive it-investeringer, og risikerer enorme bøder, hvis de ikke når at implementere de nye sikkerhedskrav i tide,” siger Natasha Friis Saxberg, adm. direktør i IT-Branchen.
Store omkostninger
De nye virksomheder, der nu bliver opfattet som kritisk infrastruktur omfatter bl.a. detailhandlen samt en række fødevareproducenter, restauranter og transportvirksomheder, nu defineret som en del af den kritiske infrastruktur, der skal leve op til de massive it-sikkerhedskrav, som NIS2-direktivet kommer med.
Lever virksomheden ikke op til NIS2-direktivet, risikerer de bøder på op til 75 mio. kr. eller 2% af virksomhedens omsætning – alt efter hvad der er højest.
De mange virksomheder, der nu står til at skulle opgradere deres sikkerhedskrav, står overfor store omkostninger i forbindelse med deres nye status som kritisk infrastruktur. EU forventer, at de virksomheder, der skal leve op til det nye NIS2-sikkerhedsdirektiv skal øge deres it-investeringer med 20-30%.
For de danske virksomheder anslår analysevirksomheden IDC, at hver virksomhed i gennemsnit vil få en merudgift på 350.000 kr., hvilket svarer til samlede ekstra it-investeringer for de 1.400 berørte virksomheder på 448 mio. kr.
”Selvom direktivet først træder i kraft i 2024, så er implementeringstiden stadig forholdsvis kort, når det handler om så store it-investeringer. Det er derfor vigtigt, at myndighederne hurtigt får orienteret alle berørte virksomheder om, at de er omfattet af det kommende sikkerhedsdirektiv. Ellers risikerer vi en situation, hvor virksomhederne ikke har mulighed for at afsætte midlerne og ressourcerne i tide,” siger Natasha Friis Saxberg.