Opsummering
Når du skal etablere informations- og cybersikkerhed, skal du starte med at vurdere, hvor meget sikkerhed, I har behov for, og hvor dyrt det vil være at opnå set i forhold til jeres modenhed. Til arbejdet kan du lade dig inspirere af en kendt standard (ISO270XX, NIST SP 800-XXX, CIS18 eller lign.). Først til sidst skal du tilpasse din informations- og cybersikkerhed til de juridiske compliancekrav, du er underlagt. Kravene ligner nemlig hinanden på tværs af generelle regelsæt (NIS2, GDPR, Whistleblowerloven osv.) og sektorlove (finans, sundhed, transport osv.).
Start derfor med andre ord ikke med juraen. Start med den sunde fornuft. Og slut med at knytte din informations- og cybersikkerhedsfunktion op på de regler, du er omfattet af. Så undgår du at skulle lave om hver gang, der kommer nye regler eller der ændres i eksisterende.
Vi skal ud af trædemøllen
NIS2 står for døren, og vi konsulenter er allerede nu gået i gang med at sælge rådgivning på baggrund af frygt for bøder og frygt for cyberkriminalitet.
Udover NIS2 er i hvert fald følgende på vej, som på den ene eller den anden måde berører, hvordan vi skal behandle data: data governance act, artificial intelligence regulation, digital operational resilience for the financial sector, the EU cybersecurity act, data act, digital services act, critical entities resiliance directive osv. Noget bliver ikke vedtaget, og noget bliver vedtaget gennem andre kanaler.
Hertil kommer skærpelser i retspraksis af kendte regelsæt som GDPR. Vi har således set gennem årene en tiltagende præcisering af, hvad der kræves. Og det bliver ikke lettere med tiden.
I lyset af NIS2 er især juristerne i de berørte organisationer i gang med at lave tjeklister og ledelsesorientere, så der er plads i budgetterne, og man har ryggen fri den dag, vi ikke er i mål til tiden, og nogen spørger eller kræver dokumentation.
Det er derfor, vi på baggrund af vores erfaring spørger: Skal vi virkelig igennem samme mølle hver gang, der er regulering på vej vedrørende data?
Møllen ser nogenlunde sådan her ud:
Forslaget dukker op nede i EU. Konsulenter skriver blogs og nyhedsbreve. De interne medarbejdere starter kortlægning og ledelsesorientering. De danske myndigheder implementerer i dansk lov og/eller kommer med vejledninger. Der opstår almindelig forvirring over fortolkning og den praktiske anvendelse. Og kommer myndighederne virkelig ud og tjekker? Der konstateres bred manglende efterlevelse af reglerne. Ansvarlige medarbejdere, journalister og rådgivere buldrer løs og kalder på handling. Der dukker endelig nogle afgørelser op rundt omkring. Efterlevelsen starter under stor irritation mellem ledelse og de ansvarlige i organisationerne, for det hele er tvunget og uden for årets budget.
Denne mølle skal vi ikke igennem. Det er for stor en sikkerhedsrisiko for de fleste organisationer. Derfor foreslår vi, at ledelserne derude anvender en anden tilgang.
Hvad skal du gøre i stedet for?
Du skal ikke gå til juristerne. Du skal gå til it-sikkerheds- og compliancefolkene først. Derefter skal du gå til juristerne.
Hvis du starter hos juristerne, fødes dit informations- og cybersikkerhedsprojekt som udgangspunkt med tvang og trusler i din organisation, da jurister forretningsrisikovurderer for smalt ved typisk og naturligt nok kun at indoptage bøder og påbud i deres råd og vejledning – den rigtige sikkerhed glemmes typisk en smule.
Det er meget bedre, hvis projektet i stedet er drevet af den sunde fornuft, og hvis det reelt har ledelsens (økonomiske) opbakning. For hvis der ikke er opbakning – er det vores påstand på baggrund af vores erfaring – vil det ikke lykkes at etablere og drive en effektiv informations- og cybersikkerhedsfunktion.
Afvis juristerne, når de kommer til dig med listen over de seneste compliancekrav til informations- og cybersikkerhed.
Afvis også compliance- og it-sikkerhedsspecialisterne, hvis de ikke også kan relatere projektets aktiviteter til de regler, der trods alt i sidste ende også skal efterleves (mapning).
Med din sunde fornuft og din forretningsrisikovurdering i baghånden kan du med fordel kaste juristerne ind til sikkerhedsspecialisterne med besked om, at de kan komme ud, når de er enige om en prioritering af de aktiviteter, de vil sætte i gang.
Prioriteringen skal ske ud fra en forretningsrisikovurdering, der prioriterer rigtig sikkerhed, men som trods alt medtager konsekvensen af manglende efterlevelse på papiret.
Vi tør garantere, at juristerne og sikkerhedsfolkene får det svært i samme rum, for juristerne vil ikke gå på kompromis: ”Jamen, det siger loven, og jeg bliver fyret, hvis vi tages i en overtrædelse”.
Samtidig kan og vil sikkerhedsspecialisterne ganske sjældent formulere sig i juridiske vendinger: ”Jura er elastik i metermål, og det giver jo ikke rigtig sikkerhed alligevel, så jurister skal slet ikke blande sig”.
Men det er de to fronter, du som ledelse skal tage hånd om ved hjælp af din egen sunde fornuft i form af din forretningsrisikovurdering.
Din plan
Du bør tænke følgende:
- Vi skal have sikkerhed, og vi skal selvsagt sikre os mod cyberkriminelle.
- Og vi skal efterleve alle de gamle og nye lov-, direktiv- og forordningskrav til netop vores branche og konkrete it-aktivitet.
- Vi skal kunne styre, dokumentere og rapportere vores indsats.
- Men det skal styres ved hjælp af en forretningsrisikovurdering, som hverken juristerne eller sikkerhedsspecialisterne hver for sig kan udarbejde i fuldt omfang: Juristerne forstår sig ikke på rigtig sikkerhed, og sikkerhedsfolkene forstår ikke, hvor kritisk dokumentation kan være i disse tider i forhold til myndigheder, investorer, forsikring osv.
Vores påstand er, at hverken juristerne eller sikkerhedsspecialisterne kan planlægge en informations- og cybersikkerhedsfunktion, der samtidig kan dokumentere efterlevelse af lov-, direktiv- og forordningskrav. Det kan kun ledelsen, hvis den har gjort sig relevante tanker om risikotolerance og efterlevelsesniveau.
Det er på tide at erkende, at de mange love og vejledninger stiller de samme grundlæggende krav til informations- og cybersikkerheden (se figuren ovenfor).
Det ene sted hedder noget et, det andet sted hedder det noget andet, men substansen er den samme.
I visse regelsæt står kravene på en brugbar måde i selve loven. I andre regelsæt står de i den tilhørende bekendtgørelse eller vejledning. I andre tilfælde kan vi først se, hvad vi rigtig skal, hvis vi kigger på retspraksis. Men det er ikke så afgørende. Det skal juristerne nok få styr på.
For at komme tilbage på sporet: Ledelsen skal definere risikotolerance og efterlevelsesniveau. Gør ledelsen ikke det, kan medarbejdere, sikkerhedsfolk, jurister og konsulenter ikke udføre deres opgave. Og hvad værre er: Din informations- og cybersikkerhedsfunktion virker ikke. Og er det tilfældet, at jeres informations- og cybersikkerhedsfunktion ikke virker, er det et anliggende for generalforsamlingen, kommunaldirektøren, koncernledelsen, departementschefen og lignende.
Når behovet for informations- og cybersikkerhedsfunktionen er vurderet og planlagt set i lyset af risikotolerancen, kan juristerne få lov at arbejde:
- De skal kortlægge, hvilke krav du er underlagt ved at udfylde følgende formel: Generelle krav (NIS2, GDPR) plus sektorkrav (Finans, Sundhed osv.) plus krav til selve it-aktiviteten (profilering, whistleblowing, ansigtsgenkendelse osv.) minus overlappende krav (er der dobbeltregulering i eksempelvis GDPR og krav til it-sikkerhed i finanssektoren?) lig med facitkravene til din informations- og cybersikkerhedsfunktion.
- De skal derefter retligt kvalificere den planlagte informations- og cybersikkerhedsfunktion op imod facitkravene: Hvad er det vi har planlagt/allerede gør, som opfyldet et eller flere krav på facitkravlisten helt eller delvist?
- De skal endelig angive hvilket efterlevelsesniveau, som iværksættelse af de planlagte og eventuelt eksisterende informations- og cybersikkerhedsaktiviteter vil resultere i.
Ledelsen skal nu enten acceptere efterlevelsesniveauet i en given periode, indtil spørgsmålet som led i årshjulet tages op igen, eller bede juristerne om at angive de konkrete aktiviteter, der skal til for at forbedre efterlevelsesniveauet.
Juristerne skal angive forbedringsaktiviteterne på den måde, at de ikke må komme tilbage med svar, før de har afklaret aktiviteterne med sikkerhedsfolkene, således at juristernes løsning reelt er formuleret ind i jeres planlagte og eventuelt eksisterende informations- og cybersikkerhedsfunktion.
Når således både jurister og sikkerhedsfolk er lykkes med at formulere en informations- og cybersikkerhedsfunktion, der holder sig indenfor den risikotolerance og det efterlevelsesniveau, der er accepteret i forretningsrisikovurderingen, kan ledelsen trykke start.
Og husk nu.. Og endelig: Drop at blive 100 % compliant. Det kan ikke lade sig gøre. Heller ikke med Joakim von Ands pengetank. Det skal således indgå i din forretningsrisikovurdering, at I ikke kan bevæge jeres organisation ind i fremtiden helt uden risiko for bøder eller it-nedbrud. Men det behøver du ikke sige til hverken sikkerhedsfolkene eller juristerne – det må ikke blive en sovepude.