Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Der er én sætning, der ændrer en samtale i et bestyrelseslokale hurtigere end nogen risikoanalyse: “I kan personligt blive holdt ansvarlige.” Med NIS2 er det ikke en trussel, en konsulent finder på. Det står i loven.
Ansvaret for cloud-suverænitet er eksplicit. NIS2, implementeret i dansk ret i 2024, gør ledelsesorganer i de omfattede virksomheder personligt ansvarlige for at kende og håndtere organisationens sikkerhedsrisici, inklusive databehandlerkæden. GDPR-håndhævelsen er skærpet markant, og den gælder alle. Tilsammen betyder det, at cloud-suverænitet ikke længere er noget, der drukner i IT-afdelingens opgavekø, men et emne, der kan løftes til bestyrelsesmødet med lovgivningen som rygdækning.
Ledelsesansvaret i lovtekst
Direktivets centrale bestemmelse er enkel. Ledelsesorganer i de omfattede virksomheder er personligt ansvarlige for at godkende og føre tilsyn med sikkerhedsforanstaltningerne. I alvorlige tilfælde kan bestyrelsesmedlemmer og direktører midlertidigt udelukkes fra ledelsesfunktioner, hvis virksomheden ikke har truffet de fornødne foranstaltninger, og et brud opstår som konsekvens.
I praksis er det sjældent en bøde, der rammer den enkelte leder først. Det er spørgsmålet, et tilsyn stiller efter en hændelse: kunne ledelsen dokumentere, at den kendte sin eksponering og havde taget stilling til den?
En underskrevet databehandleraftale er ikke det samme som at have truffet de fornødne foranstaltninger. Den forskel afgør, om ansvaret reelt er løftet eller blot delegeret nedad. De fleste er sårbare præcis dér: kontrakterne findes, men ingen kan fremvise det samlede billede, en bestyrelse formodes at kende.
NIS2 gælder for mellemstore og store virksomheder inden for definerede sektorer: energi, transport, sundhed, bank og finansiel infrastruktur, digital infrastruktur, offentlig forvaltning og en række øvrige industri- og servicesektorer. Mikrovirksomheder og små virksomheder er generelt undtaget, og det samme er virksomheder uden for de omfattede sektorer. For dem gælder GDPR og Schrems II fuldt ud, men ikke NIS2’s direkte krav.
Cloud-suverænitet er ikke nævnt eksplicit i NIS2’s tekst, men databehandlerkæden er en central del af det risikobillede, ledelsen er ansvarlig for at kende: hvilke udbydere der behandler jeres data, under hvilken ret og med hvilken adgang. Gorrissen Federspiel konkluderer i sin analyse af direktivet, at NIS2 ikke kræver EU-lokalisering direkte, men at risikovurderinger og tilsynspraksis i effekt vil drive lokaliseringskrav for kritiske systemer. Har bestyrelsen ikke taget stilling til sin organisations juridiske eksponering på det punkt, har den ikke opfyldt den tilsynspligt, loven beskriver.
Et fyrtårn også uden lovkrav
NIS2’s risikoramme rækker længere end til de direkte omfattede. Den er et præcist og politisk legitimeret udgangspunkt for enhver organisation, der vil arbejde struktureret med cloud-suverænitet, uanset om man er juridisk forpligtet.
Direktivets krav til kortlægning af forsyningskæden, vurdering af tredjepartsudbydere og placering af et klart ledelsesansvar er ikke vilkårlige. De er destilleret af år med hændelsesanalyser og tilsynserfaringer på tværs af Europa. At følge rammen frivilligt giver ledelsen et klart styringsgrundlag.
Det er nemmere at løfte cloud-suverænitet i et bestyrelseslokale med reference til et EU-direktiv end med reference til en intern IT-vurdering. For mange organisationer er NIS2 det mest nyttige, der er sket for cloud-suverænitetsdagsordenen. Ikke fordi de er underlagt det, men fordi det giver dem noget at navigere efter.
Tilsynet ser på det juridiske grundlag
Siden Schrems II har datatilsynsmyndighederne i EU gradvist skærpet håndhævelsen af reglerne for overførsel af personoplysninger til tredjelande. Den østrigske databeskyttelsesmyndighed fastslog i januar 2022 som den første, at brug af Google Analytics var ulovligt, fordi data overføres til USA under vilkår, der ikke lever op til Schrems II. Tilsvarende afgørelser fulgte i Frankrig, Italien og Danmark i 2022 og 2023.
Det irske datatilsyn pålagde i maj 2023 Meta en bøde på 1,2 mia. euro for ulovlig overførsel af personoplysninger fra EU til USA, den hidtil største GDPR-bøde overhovedet. Sagen handlede specifikt om det juridiske grundlag for dataoverførslen, ikke om et teknisk sikkerhedsbrud.
Mønsteret er det vigtige. Tilsynsmyndighederne ser ikke kun på, om data er beskyttet teknisk. De ser på, om det juridiske grundlag for behandlingen holder. Det er præcis det spørgsmål, en bestyrelse bør kunne besvare for sine kritiske systemer, og det er det spørgsmål, NIS2’s risikoramme giver et struktureret grundlag for at adressere.
Hvem i organisationen ejer spørgsmålet
I de fleste organisationer er svaret uklart. DPO’en ejer GDPR-fortegnelserne. IT-sikkerhedschefen ejer den tekniske infrastruktur. Juridisk afdeling skriver kontrakterne. Ingen ejer det samlede billede af, hvilke data der ligger under hvilken jurisdiktion, og dermed hvad virksomhedens faktiske eksponering er. Det er den type gab, tilsynsmyndighederne typisk finder, når de undersøger en organisation.
Svaret er ikke nødvendigvis en ny stilling. Det er ét navn, typisk CISO’en, CTO’en eller DPO’en med tilstrækkeligt mandat. Den person samler billedet, holder det opdateret og løfter det til ledelsesniveauet med jævne mellemrum. Uden det navn er kortlægningen en engangsøvelse; med det er den et styringsgrundlag.
Ansvaret begynder ved bestyrelsen
Cloud-suverænitet hører til på bestyrelsens bord, ikke kun i IT-udvalget og på leverandørmøderne. Det er et spørgsmål om ledelsesansvar på niveau med andre væsentlige spørgsmål om regelefterlevelse og risikostyring.
Den praktiske konsekvens er, at bestyrelse og direktion bør vide, hvilke platforme virksomheden kører kritiske data på, hvad det juridisk indebærer, og hvad planen er. Ikke kun fordi de bærer ansvaret, men fordi det er dem, der kan træffe de nødvendige prioriterings- og ressourcebeslutninger.
Cloud-suverænitet er ikke et IT-projekt, men en strategisk beslutning, og lovgivningen giver nu enhver leder et legitimt udgangspunkt for at rejse den i bestyrelseslokalet.
Læs også de andre klummer i serien: