Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Når du skal etablere informations- og cybersikkerhed, skal du begynde med at vurdere, hvor meget reel it-sikkerhed, I har behov for, og hvor dyrt det vil være at opnå set i forhold til jeres modenhed. Til arbejdet kan du lade dig inspirere af en kendt standard (ISO270XX, NIST SP 800-XXX, CIS18 eller lign.).
Først til sidst skal du tilpasse din informations- og cybersikkerhed til de juridiske compliancekrav, du er underlagt.
Kravene ligner nemlig hinanden på tværs af de generelle regelsæt (NIS2, GDPR, PCI DSS osv.) og sektorlovene (finans, sundhed, transport osv.).
Begyndt derfor med andre ord ikke med juraen. Begyndt med den sunde fornuft. Og slut med at knytte din informations- og cybersikkerhedsaktiviteter op på de regler, du er omfattet af.
Så undgår du i vid udstrækning at skulle lave om hver gang, der kommer nye regler, eller der ændres i eksisterende regelsæt.
Vi skal ud af trædemøllen
NIS2 står for døren, og vi konsulenter er allerede nu gået i gang med at sælge rådgivning på baggrund af frygt for bøder og for cyberkriminelle.
Udover NIS2 er i hvert fald følgende på vej, som på den ene eller den anden måde berører, hvordan vi skal behandle data: Data governance act, artificial intelligence regulation, digital operational resilience for the financial sector (DORA), the EU cybersecurity act, data act, digital services act, critical entities resiliance directive osv.
Traditionelt bliver ikke alle forslag vedtaget. I stedet kan indholdet dog dukke op i andre regler på et senere tidspunkt.
Hertil kommer skærpelser i retspraksis af kendte regelsæt som GDPR.
Vi har således set gennem årene en tiltagende præcisering af, hvad der kræves. Og det bliver ikke lettere med tiden. Senest har Datatilsynets cloudvejledning samt det tilhørende tilsynsskema skabt en del postyr rundt omkring.
I lyset af NIS2 er især juristerne i de berørte organisationer i gang med at lave tjeklister og ledelsesorientere, så der er plads i budgetterne, og man har ryggen fri den dag, vi ikke er i mål til tiden, og nogen spørger eller kræver dokumentation.
Det er derfor, vi på baggrund af vores erfaring spørger: Skal vi virkelig igennem samme mølle hver gang, der er regulering på vej vedrørende data?
Møllen ser nogenlunde sådan her ud:
Forslaget dukker op nede i EU. Konsulenter skriver blogs og nyhedsbreve. De interne medarbejdere starter kortlægning og ledelsesorientering.
De danske myndigheder implementerer i dansk lov og/eller kommer med vejledninger. Der opstår almindelig forvirring over fortolkning og den praktiske anvendelse. Og kommer myndighederne virkelig ud og tjekker? Der konstateres bred manglende efterlevelse af reglerne.
Ansvarlige medarbejdere, journalister og rådgivere buldrer løs og kalder på handling. Der dukker endelig nogle afgørelser op rundt omkring. Efterlevelsen starter under stor irritation mellem ledelse og de ansvarlige i organisationerne, for det hele er tvunget og uden for årets budget.
Denne onde cirkel skal vi bryde. Det er i dag for stor en compliance- og sikkerhedsrisiko for de fleste organisationer. Derfor foreslår vi, at ledelserne derude anvender en anden tilgang.
Hvad skal du gøre i stedet for?
Du skal ikke gå til juristerne. Du skal gå til it-sikkerhedsfolkene først. Først derefter skal du også gå til juristerne.
Hvis du starter hos juristerne, fødes dit informations- og cybersikkerhedsprojekt som udgangspunkt med tvang og trusler i din organisation, da jurister forretningsrisikovurderer for smalt ved typisk - og naturligt nok - kun at indoptage bøder og påbud i deres råd og vejledning – den rigtige sikkerhed glemmes typisk en smule.
Det er meget bedre, hvis projektet i stedet er drevet af den sunde fornuft, og hvis det reelt har ledelsens (økonomiske) opbakning.
For hvis der ikke er opbakning – er det vores påstand på baggrund af vores erfaring – vil det ikke lykkes at etablere og drive en effektiv informations- og cybersikkerhedsfunktion.
Afvis juristerne, når de kommer til dig med listen over de seneste compliancekrav til informations- og cybersikkerhed.
Afvis også compliance- og it-sikkerhedsspecialisterne, hvis de ikke også kan relatere projektets aktiviteter til de regler, der trods alt i sidste ende også skal efterleves (mapning).
Med din sunde fornuft og din forretningsrisikovurdering i baghånden kan du med fordel kaste juristerne ind til sikkerhedsspecialisterne med besked om, at de kan komme ud, når de er enige om en prioritering af de aktiviteter, de vil sætte i gang eller justere.
Prioriteringen skal ske ud fra en forretningsrisikovurdering, der sætter rigtig sikkerhed først, men som trods alt medtager konsekvensen af manglende efterlevelse på papiret.
Vi tør garantere, at juristerne og sikkerhedsfolkene får det svært i samme rum, for juristerne vil ikke gå på kompromis: ”Jamen, det siger loven, og jeg bliver fyret, hvis vi tages i en overtrædelse”.
Samtidig kan og vil sikkerhedsspecialisterne ganske sjældent formulere sig i juridiske vendinger: ”Jura er elastik i metermål, og det giver jo ikke rigtig sikkerhed alligevel, så jurister skal slet ikke blande sig”.
Men det er de to fronter, du som ledelse skal tage hånd om ved hjælp af din egen sunde fornuft i form af din forretningsrisikovurdering.
Din plan
Du bør tænke følgende:
1) Vi skal have sikkerhed, og vi skal selvsagt sikre os mod cyberkriminelle.
2) Og vi skal efterleve alle de gamle og nye lov-, direktiv- og forordningskrav til netop vores branche og konkrete it-aktiviteter.
3) Vi skal kunne styre, dokumentere og rapportere vores indsats.
4) Men det skal styres ved hjælp af en forretningsrisikovurdering, som hverken juristerne eller sikkerhedsspecialisterne hver for sig kan udarbejde i fuldt omfang: Juristerne forstår sig ikke på rigtig sikkerhed, og sikkerhedsfolkene forstår ikke, hvor kritisk dokumentation kan være i disse tider i forhold til myndigheder, investorer, forsikring osv.
Det kan kun ledelsen
Vores påstand er, at hverken juristerne eller sikkerhedsspecialisterne kan planlægge en informations- og cybersikkerhedsfunktion, der samtidig kan dokumentere efterlevelse af lov-, direktiv- og forordningskrav.
Det kan kun ledelsen, hvis den har gjort sig relevante tanker om risikotolerance og efterlevelsesniveau.
Indsatsen fra ledelsens side bør motiveres af, at de mange love og vejledninger stiller de samme grundlæggende krav til informations- og cybersikkerheden (se figuren).
Det ene sted hedder noget et, det andet sted hedder det noget andet, men substansen er den samme. Det skal de tre parter, it-sikkerhedsfolkene, juristerne og ledelsen, erkende som udgangspunktet for deres it-sikkerheds - og complianceindsats.
I visse regelsæt står kravene på en brugbar måde i selve loven. I andre regelsæt står de i den tilhørende bekendtgørelse eller vejledning – eller sågar først nede i retspraksis. Men det er ikke så afgørende. Det skal juristerne nok få styr på.
For at komme tilbage på sporet: Ledelsen skal definere risikotolerance og efterlevelsesniveau. Gør ledelsen ikke det, kan medarbejdere, it-sikkerhedsfolk, jurister og konsulenter ikke udføre deres opgave.
Og hvad værre er: Din informations- og cybersikkerhedsfunktion virker ikke. Og er det tilfældet, at jeres informations- og cybersikkerhedsfunktion ikke virker, er det – i dag - blevet et anliggende for generalforsamlingen, kommunaldirektøren, koncernledelsen, departementschefen og lignende.
Når behovet for informations- og cybersikkerhedsfunktionen er vurderet og planlagt set i lyset af risikotolerancen, kan juristerne få lov at arbejde:
1) De skal kortlægge, hvilke krav du er underlagt ved at udfylde følgende formel:
Kortlæg generelle krav (NIS2, GDPR) à kortlæg relevante sektorkrav (finans, sundhed osv.) à kortlæg krav, der målretter sig mod selve it-aktiviteten (profilering, whistleblowing, ansigtsgenkendelse osv.) à fratræk krav ved dobbeltregulering eller hvis nogle kravkilder trumfer andre (typisk viger de generelle regler for sektorspecifik regulering) à = så har du facitkravene til din informations- og cybersikkerhedsfunktion.
1) Juristerne skal derefter retligt kvalificere den eksisterende og planlagte informations- og cybersikkerhedsfunktion op imod facitkravene: Hvad er det, vi allerede gør og har planlagt, som opfylder et eller flere krav på facitkravlisten helt eller delvist?
2) De skal endelig angive hvilket efterlevelsesniveau, som iværksættelse af de eksisterende og planlagte informations- og cybersikkerhedsaktiviteter vil resultere i.
Ledelsen skal nu enten acceptere efterlevelsesniveauet for en given periode, indtil spørgsmålet som led i årshjulet tages op igen, eller bede juristerne om at angive de konkrete aktiviteter, der skal til for at forbedre efterlevelsesniveauet.
Juristerne skal angive forbedringsaktiviteterne på den måde, at de ikke må komme tilbage med svar, før de har afklaret aktiviteterne med it-sikkerhedsfolkene, således at juristernes løsning reelt er formuleret ind i den eksisterende og den planlagte informations- og cybersikkerhedsfunktion.
Når således både jurister og it-sikkerhedsfolk er lykkes med - område for område - at formulere en række fælles informations- og cybersikkerhedsaktiviteter, der holder sig indenfor den risikotolerance og det efterlevelsesniveau, der er accepteret i forretningsrisikovurderingen, kan ledelsen trykke på start.
Og husk nu..
Drop at blive 100 procent compliant. Det kan ikke lade sig gøre. Heller ikke med Joakim von Ands pengetank.
Det skal således indgå i din forretningsrisikovurdering, at I ikke kan bevæge jeres organisation ind i fremtiden helt uden risiko for bøder eller it-nedbrud. Men det behøver du ikke sige til hverken sikkerhedsfolkene eller juristerne – det må ikke blive en sovepude.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.