Digitale trusler er ikke nogen nyhed, men de er desværre heller ikke ved at blive mindre aktuelle. Faktisk ser vi et stadigt stigende trusselsbillede både mod private og mod virksomheder.
Men det rejser så et andet punkt, nemlig compliance, et ord, alle virksomheder bruger i rigtig mange sammenhænge. Compliance er dog ikke kun vigtigt, når vi snakker om standarder og lovgivninger; cybersikkerheds-compliance er ikke alene vigtigt, det er også et vigtigt skjold, der står mellem din virksomhed og de cyberkriminelle.
Cyberangreb er uden tvivl en af de største hovedpiner, virksomheder står over for i dag, og det har både lokale regeringer og EU fået øjnene op for, hvilket har medført en række nye compliance-krav. De kan virke skræmmende, men de er vigtige for virksomhedernes drift og dermed for et stabilt samfund.
Når vi så snakker om compliance, er der to forskellige typer, nemlig den tvungne og den frivillige, og de har hver deres sæt af krav.
Tvungen compliance kommer enten fra et lands regering eller et organ som EU, og den retter sig mod virksomheder, der arbejder med kritisk infrastruktur, f.eks. hospitaler, transport og energi. Den compliance, vi snakker om her, kunne f.eks. være NIS 2, som virksomheder i øjeblikket kæmper for at leve op til.
Når vi så snakker om frivillig compliance, er det typisk krav, de skal efterkomme for at overholde visse standarder, som deres produkter skal leve op til, eller som deres samarbejdspartnere forventer, at de overholder af sikkerhedsårsager. Det kunne være ISO 14001, der viser, at virksomheder overholder miljøvenlige metoder.
Men om det er tvungen eller frivillig compliance, så er det vigtigt at være opmærksom på, at det ikke er en engangsforestilling. Compliance kræver overvågning, så man løbende lever op til kravene, og derved lægger det både budget- og ressourcemæssige belastninger på virksomhederne.
Hvis vi så igen kigger på tvungen compliance, så er det ofte forbundet med stor bødestraf ikke at leve op til reglerne. Det skal lægges oven i de datatab og økonomiske udgifter, der kommer som følge af et cyberangreb. Derved kan det blive en økonomisk bombe for virksomheder, hvis de ikke lever op til tvungen compliance.
Frivillig compliance medfører ikke bødestraf, hvis kravene ikke overholdes, men kan betyde tabt forretning, eller at man ikke kan arbejde for regeringer eller virksomheder med bestemte krav til compliance. Derved kan det stadig blive en dyr affære ikke at overholde en frivillig compliance – husk på, at udgifter i forbindelse med et cyberangreb ikke forsvinder, fordi det er en frivillig compliance, vi snakker om.
I Europa er der to forordninger, som virksomheder skal være opmærksomme på, og jeg er sikker på, at langt de fleste skandinaviske virksomheder arbejder med dem allerede.
GDPR, eller persondataforordningen fra EU, stiller strenge krav til håndtering af personfølsomme data og de rettigheder, som alle har til deres personlige data, og ikke mindst hvordan virksomheder skal informere i forbindelse med datalækage.
NIS 2 retter sig primært mod virksomheder, der arbejder med kritisk infrastruktur, og stiller store og strenge krav til alle, der arbejder inden for dette område. NIS 2 kan også ramme underleverandører og andre erhverv, hvis produkter og services kan vurderes som samfundskritiske af den konkrete myndighed.
Det kan være dyrt ikke at overholde en tvungen compliance, f.eks. kan en GDPR-overtrædelse medføre bødestraf på op til 10 millioner euro eller 2 % af den årlige globale omsætning, og der kan endda tillægges yderligere bødestraf, hvis det vurderes, at virksomheder ikke har taget de nødvendige sikkerhedsforanstaltninger.
Cybersikkerhed og cybercompliance er derfor ikke noget, vi skal tage let på, for selvom det måske kan virke dyrt og besværligt at skulle overholde compliancekrav, tvungne og frivillige, så kan det blive endnu dyrere ikke at overholde dem.
Husk også at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.
