DORA, NIS, GDPR, ISO og ISAE – forkortelserne er mange og man kan let fare vild i de forskellige regulativer, forordninger og erklæringer. For hvad betyder de egentlig og hvilken indvirkning har de på din virksomhed?

I artiklen her, løber vi de mest almindelige og pt. mest omtalte forkortelser igennem, så du kan få overblik og indsigt i, hvad de forskellige regulativer og erklæringer betyder og regulerer, hvilke krav de stiller og om de har konsekvens for lige netop din forretning.

GDPR

GDPR står for ”General Data Protection Regulation” og er en gammel traver, der havde sit ”Moment of Glory” tilbage i maj 2018, hvor den erstattede et tidligere databeskyttelsesdirektiv, der var gennemført i dansk ret via persondataloven.

Men ikke desto mindre fortjener den fortsat opmærksomhed, fordi den er så essentiel for rigtig mange virksomheder, der indsamler, anvender og opbevarer data der kan identificere en person direkte eller indirekte, fx CPR-numre, helbredsoplysninger, cookies, lokationsdata m.m.

GDPR er en EU-forordning, med det formål at styrke og harmonisere beskyttelsen af personoplysninger på tværs af alle EU-lande og give borgere større kontrol over deres egne data.

Hvem gælder GDPR for?

GDPR gælder for alle virksomheder, der har aktiviteter i Europa, eller som tilbyder varer eller services til personer i EU, eller som overvåger og tracker personers adfærd. Og forordningen stiller en række krav til, hvordan både virksomheder og myndigheder skal behandle disse personoplysninger.

Hvis du som virksomhed overtræder GDPR, kan du blive pålagt bøder af Datatilsynet. Bøder af ikke uvæsentlige størrelser afhængigt af, hvor alvorlig overtrædelsen er.

En ting er bøden, noget andet er dit omdømme. Derfor, arbejd løbende med din IT-sikkerhed, interne processer og arbejdsgange, så du sikrer, at du lever op til kravene i GDPR.

Hvem gælder NIS2 for?

NIS2 gælder for sektorer, både private og offentlige, der enten udbyder eller anvender infrastruktur, der her stor betydning for samfunds-driften og samfundsøkonomien. Og her skelnes der igen mellem ”væsentlige enheder” og ”vigtige enheder”, som har forskellige krav og forpligtelser. Størrelsen på virksomheden har også indflydelse på, om du er omfattet af NIS2.

I udgangspunktet er du omfattet af NIS2, hvis du beskæftiger mere end 50 personer og har en årlig omsætning eller balance på mere end 10 mio. euro samt beskæftiger dig inden for en eller flere af følgende 18 sektorer/industrier:

Væsentlige enheder (særlig kritiske sektorer)

• Energi
• Sundhedspleje
• Transport
• Banker
• Finansielle markeders infrastruktur
• Drikkevand
• Spildevand
• Digital infrastruktur
• Rum-teknologi
• IT-tjenester til B2B
• Offentlig administration

Vigtige enheder (andre kritiske sektorer)

• Post- og kurertjenester
• Affaldshåndtering
• Kemikalier
• Fødevarer
• Forsikring
• Medicinsk og elektronisk udstyr
• Digitale udbydere

Hvordan finder jeg ud af om jeg er underlagt NIS2?

En god tommelfingerregel er:

• Hvis din virksomhed er omfattet af NIS1, er du højst sandsynligt også omfattet af NIS2

• Læs bilagene til NIS2-direktivet (s. 64-70). Her finder du en mere udførlig beskrivelse af omfattede virksomheder og myndigheder

• Vær opmærksom på, at en eller flere enkeltaktiviteter i din virksomhed kan betyde, at du er omfattet af NIS2, fordi du indgår som underleverandør til en virksomhed, der er omfattet af NIS2

Overblik over digitale aktiver

Få styr på både systemer og hardware, der indgår i de services I enten leverer eller bruger. Husk at oversigten, skal kunne dokumenteres for en tilsynsmyndighed. Derfor – få den skrevet ned.

Lav en risikovurdering

Lav en vurdering af den største trussel mod jeres leverence(er). Hvor kommer den fra, hvilken impact og konsekvens får det, når den rammer? Husk at løfte det op og tag samfunds-brillerne på.

Lav en beredskabsplan

Lav en plan for, hvordan I genetablerer driften efter et angreb. Hvem gør hvad, hvem har ansvar for hvad? Planen skal være dokumenterer og trænet, så alle kender deres roller og ansvar.

DORA

DORA er en forkortelse for ”Digital Operational Resilience Act, som er en EU-forordning. I modsætning til NIS er DORA forordningen sektor-specifik med det formål, at ensrette kravene og styrke reglerne for IT-sikkerhed, IT-styring og IT-outsourcing udelukkende i den finansielle sektor.

DORA indfører fælles standarder og tilsyn for udbydere af kritiske tredjepartstjenester, fx cloud computing, datacentre, software. Lovgivning, der samlet set højner den finansielle sektors modstandsdygtighed over for cyberangreb, der kan påvirke den finansielle stabilitet i EU.

Hvem er underlagt DORA og hvilke områder berører den?

Alle virksomheder, der er omfattet af EU’s finansielle lovgivning, er underlagt DORA – fx:

• Banker
• Elektroniske pengeinstitutter
• Pensionsselskaber
• Forsikringsselskaber
• Kreditinstitutter
• Kreditvurderingsbureauer
• Værdipapircentraler
• Tjenesteudbydere/udstedere af netværksfinansiering
• Udbydere af services til crypto-aktiver
• Tredjepartsudbydere af it-sikkerhedstjenester

Med DORA skal virksomheder ikke længere kun dokumentere deres finansielle soliditet men også demonstrere, hvordan de opretholder en modstandsdygtig drift i tilfælde af et cyberangreb, hvor der kan opstå alvorlige driftsforstyrrelser.

DORA stiller minimumskrav inden for 5 hovedområder:

• Governance og risikostyring
• Hændelsesrapportering
• Test, beredskab og mitigering
• Tredjepartsrisikostyring
• Informationsdeling

Hvornår træder DORA i kraft?

DORA trådte i kraft den 27. december 2022, men skal først være i anvendelse fra den 17. januar 2025.

ISAE

ISAE står for (International Standard on Assurance Engagements) og dækker over en række assurance erklæringer, der har til formål at sikre, at fx serviceleverandører håndterer databehandling og informationssikkerhed korrekt.

ISAE-erklæringer udføres af uafhængige revisorer eller revisionsfirmaer, der gennemgår virksomhedens processer, kontroller og procedurer for at vurdere, om de opfylder de relevante standarder og krav.

Hvorfor overveje en ISAE-erklæring som serviceudbyder?

En ISAE-erklæring er værdifuld for en virksomhed af flere grunde:

• Tillid og troværdighed: Når en virksomhed har en ISAE-erklæring, viser det, at de har gennemgået en uafhængig revision af deres processer og kontroller. Dette skaber tillid hos kunder, investorer og andre interessenter.

• Overholdelse af standarder: ISAE-erklæringen bekræfter, at virksomheden overholder relevante standarder og regler. Dette er især vigtigt inden for områder som databehandling, informationssikkerhed og finansiel rapportering.

• Konkurrencefordel: Virksomheder med en ISAE-erklæring kan differentiere sig fra konkurrenterne. Det viser, at de tager deres ansvar alvorligt og har dokumenteret deres processer.

• Forbedret styring: Gennemgangen og testen af processer og kontroller i forbindelse med ISAE-erklæringen hjælper virksomheden med at identificere områder, hvor de kan forbedre deres drift og risikostyring.

• Krav fra kunder og partnere: Mange virksomheder kræver, at deres leverandører har en ISAE-erklæring som en del af deres databehandleraftaler. Det er ofte et krav fra større virksomheder og offentlige institutioner.

Samlet set er en ISAE-erklæring et værdifuldt værktøj, der bekræfter, at virksomheden opererer på en ansvarlig og pålidelig måde og giver deres kunderne tryghed for, at deres data behandles forsvarligt og i overensstemmelse med gældende standarder.

Typer af ISAE-erklæringer

Der er flere typer af ISAE-erklæringer, der bruges til at dokumentere forskellige aspekter af en virksomheds processer og kontrolmiljø. Her er nogle af de mest almindelige inden for IT-sikkerhedsområdet:

ISAE 3402 er en erklæring, der spiller en vigtig rolle i forbindelse med outsourcing af IT-drift. Denne erklæring fokuserer på at en serviceleverandør har implementeret effektive kontroller, især inden for områder som serverdrift, netværk og databaser. Den kan optræde i 2 udgaver:

• ISAE 3402 type 1: Denne type anvendes normalt ved første gangs erklæringer. Den omfatter en vurdering af design og implementering af kontroller på et bestemt tidspunkt.

• ISAE 3402 type 2: Denne type anvendes ved periodiske erklæringer. Ud over design og implementering testes også den operationelle effektivitet over en længere periode.

ISAE 3000 er en erklæring, der handler om beskyttelse af persondata. Den bekræfter, at en virksomhed som databehandler efterlever Databeskyttelsesforordningen (GDPR) og dermed lever op til reglerne for opbevaring og behandling af personoplysninger.

ISAE 3000 går også under navnet GDPR-erklæring.

ISO

En ISO certificering viser, at et produkt, en proces eller en service opfylder de krav, der er fastsat i en international standard fra ISO (International Organization for Standardization). ISO er en uafhængig organisation, der udvikler og publicerer standarder for forskellige områder, såsom kvalitet, miljø, informationssikkerhed, energiledelse og meget mere. Formålet med ISO standarder er at sikre ensartethed og kvalitet på tværs af lande og brancher.

Typer af ISO standarder

Der findes forskellige typer af ISO certificeringer, afhængigt af hvilket formål den dækker. Inden for IT-sikkerhed og informationssikkerhed opererer vi typisk med to.

ISO 27001: En certificering , der viser, at en virksomhed har et informationssikkerheds-ledelsessystem (ISMS), der opfylder kravene i ISO 27001 standarden.

ISMS er en struktureret tilgang til håndtering af informationssikkerhed i en virksomhed gennem etablering, implementering, overvågning og optimering af kontroller og processer.

ISO 27002: Er en supplerende standard til ISO 27001 med fokus på informationssikkerhedskontroller, som virksomheder kan vælge at implementere.

Standarden tilbyder best practices og kontrolmål relateret til nøgleaspekter af informationssikkerhed, såsom adgangskontrol, kryptografi, personalesikkerhed og hændelseshåndtering.

Hvorfor overveje ISO 27001 og ISO 27002?

ISO 27001 og ISO 27002 er begge vigtige standarder inden for informationssikkerhed.

Dels får du en ledelsesstandard, der fungerer som guide i arbejdet med at etablere og vedligeholde et Information Security Management System (ISMS). Og ved at implementere ISO 27001 får du også et vigtigt redskab til risikostyring, da den faciliterer identifikation og styring af risici relateret til informationssikkerhed.

ISO 27002 giver mere detaljerede retningslinjer for specifikke informationssikkerhedskontroller og er mere uddybende end ISO 27001.

Kort sagt. ISO 27001 og ISO 27002 "arbejder sammen" for at beskytte virksomhedens informationssikkerhed og minimere risici og det kan derfor være en fordel at overveje begge standarder og et godt signal at sende til kunder og samarbejdspartnere.

Læs mere om IT-sikkerhed