Compliance og best practices i et nyt årti

Det er én af mine kæpheste, at compliance indenfor cyber- og informationssikkerhed er vigtig, men at man ikke må forveksle compliance med sikkerhed. Det skriver Christel Teglers, der er partner hos Kromann Reumert i dette indlæg.
Brødtekst

"Kan du ikke sende en kort tjekliste med de vigtigste ting, jeg skal vide om cybersikkerhed?" Det spørgsmål får jeg tit, og jo, det kan jeg godt. Det er ikke tjeklister, der mangler. Faktisk er det næsten ikke til at skære sig igennem tjeklister, vejledninger, anbefalinger, retningslinjer og deres ditto forfattere på markedet.

Problemet er sjældent, at materialet ikke er godt og fornuftigt. Problemet er derimod ofte, at det tilgængelige materiale er så omfattende, kommer fra så mange forskellige kanaler, og stikker i så mange retninger på tværs af fagområder, brancher og teknologier, at alene dét at danne sig et overblik, kan tage pusten fra selv den mest ihærdige læser.

Det efterlader mange organisationer - inklusive topledelse, jurister og complianceansvarlige - med et flakkende blik, når de forsøger at besvare det naturlige spørgsmål: Har vi gjort nok for at sikre "passende og forholdsmæssige tekniske og organisatoriske foranstaltninger"? Svaret er typisk nogle generelle kommentarer ledsaget af en (korrekt, men diffus) bemærkning om, at det er en "konkret vurdering ud fra en risikobaseret tilgang".

Compliance og cybersikkerhed

Det er én af mine kæpheste, at compliance indenfor cyber- og informationssikkerhed er vigtig, men at man ikke må forveksle compliance med sikkerhed.

Der kan i praksis være en tendens til at betragte compliance ud fra et snævert it-sikkerhedsmæssigt synspunkt, hvor complianceopgaven bliver en checkprocedure, der efterser, om elementer i et sikkerhedsprogram opfylder bestemte sikkerhedskrav, regulativer og standarder. Der er intet forkert heri. Det er dog vigtigt at være opmærksom på, at compliance ikke i sig selv fortæller noget om sikkerhedsniveauet, men alene viser et øjebliksbillede af en kravopfyldelse.

God compliance i relation til cyber- og informationssikkerhed er (og bør i hvert fald være) mere end overholdelse af love, regulativer, politikker og standarder. Den gode, kompetente complianceopgave handler i lige så høj grad om at:

  • Forstå cyberrisici i konteksten af virksomhedens / organisationens risikoprofil.
  • Understøtte vurdering, måling og kommunikation af behovet for cyber- og informationssikkerhed.
  • Understøtte vurderingen af, hvornår det ønskede og tilstrækkelige sikkerhedsniveau er opnået.
  • Understøtte beslutninger og investeringer på et informeret grundlag.

Dette er en nødvendighed - og en rimelig forventning i dag - dels for at kunne opretholde konkurrenceevne og omverdenens tillid i takt med en hastigt stigende digitalisering, dels for at kunne begrænse eventuelle juridiske og økonomiske konsekvenser ved et sikkerhedsbrud (driftsforstyrrelser, tab af indtægt, bøder, skade på renommé m.v.).

Oversvømmet med regulering

Det svære ved cybersikkerhed er ikke at læse en standard (eks. ISO27001) eller at kortlægge det regulatoriske landskab (selvom reguleringen er en knopskudt - og noget rodet - blanding af nyere og ældre love og bekendtgørelser, der finder anvendelse for hver sektor).

Det svære ved cybersikkerhed er at få greb om, at cybersikkerhed er en kompleks, mange-facetteret, tværorganisatorisk risikostyringsopgave, der kræver involvering af og koordinering mellem stort set alle områder i en organisation - fra topledelse til forretning, IT, udvikling, jura, compliance, HR m.v. For at kunne tilgå denne opgave på en ordentlig, ansvarlig og proportional måde, er der kritisk behov for konsistente, ensartede standarder og best practices - både indenfor og på tværs af de enkelte sektorer i samfundet.

Som jeg nævnte i indledningen er det ikke materiale, der mangler. Efter at (it-)sikkerhed i mange år var nærmest uberørt (måske lige telesektoren undtaget) er markedet på få år oversvømmet med regulering og rådgivning - og tendensen vil fortsætte i det nye årti. Dette medfører, at standarder og best practices på cybersikkerhedsområdet stadig er på barnestadiet, og mange organisationer er endnu umodne, og dermed ikke modstandsdygtige nok, til at imødegå de (øgede) risici og trusler, der vil tegne dette årti.

Harmonisering og ensretning

Én af de vigtigste opgaver nu og i de kommende år er derfor at løse det akutte behov for standardisering og ensretning indenfor cyber- og informationssikkerhed. Det gælder blandt andet en harmonisering af standarder og best practices på globalt, regionalt og nationalt plant, og deruover er der et behov for ensretning af standarder for ansvar og forsikring.

Så vidt muligt skal der harmoniseres baseline standarder og best practices på indenfor cyber- og informationssikkerhed på både globalt, regionalt og nationalt plan. Dette arbejde pågår allerede indenfor bl.a. EU, men der skal sættes strøm til samarbejdet mellem det private erhvervsliv, myndigheder, lovgivere, brancheorganisationer, internationale organisationer m.v. for at bevare momentum og finde løsninger, der har bred opbakning og kan bruges og operationaliseres i praksis.

Derudover er ansvaret for sikkerhedsbrud (og det tilhørende ejerskab til risiko) ofte ikke klart. Der er behov for en vis ensretning af standarder for ansvar og forsikring for at understøtte teknologikontrakter og -anvendelse i fremtiden - også i relation til supply chain risiko. På dette område tror jeg især, at kommercielle kontrakter (B2B) og forsikringsmodeller vil spille en vigtig adfærdsregulerende rolle som - evt. sammen med en regulatorisk understøttelse - kan skabe fundamentet for almindeligt anerkendte normer og standarder indenfor eksempelvis ledelsesansvar, leverandøransvar, ansvarsfraskrivelser, forsikringer m.v.).

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her

Nævnte firmaer

Christel Teglers, partner Kromann Reumert