I 2016 blev et af de mest vidtrækkende regelsæt vedtaget i EU: Databeskyttelsesforordningen eller GDPR. Vi har nu haft syv år til at lære GDPR at kende, og det betyder en langt større digital modenhed i de danske virksomheder, fortæller Maria Pilh Arendsdorf Bengtsen, der er advokat i Horten, hvor hun rådgiver om databeskyttelse. Derfor bliver de nye sikkerhedskrav i NIS2-direktivet sandsynligvis heller ikke en lige så stor omvæltning, som GDPR var.
”Mindsettet er skiftet. Da GDPR-reglerne kom i 2016, fik man travlt på ledelsesgangene, fordi der ikke fandtes klare svar på, hvad virksomhederne skulle gøre for at leve op til kravene. I dag er der en anden bevidsthed om databeskyttelse. Vi er blevet mere vant til at tænke compliance ind i forretningsgangene, og alt det hårde arbejde på området rundt om i virksomhederne har reelt gjort en forskel. Så selvom NIS2-direktivet kan give déjà-vu til implementeringen af GDPR, vil de fleste virksomheder være bedre forberedte og parate til at tænke de nye krav ind,” siger Maria Pilh Arendsdorf Bengtsen.
Til forskel fra GDPR’s fokus på beskyttelse af enkeltpersoners data, stiller NIS2-direktivet, der blev vedtaget af EU-Parlamentet i 2022, i stedet krav til virksomhedernes egen cybersikkerhed.
”De nye regler skaber også muligheder. Digital compliance er blevet et konkurrenceparameter, og det er kommet i omverdenens søgelys. Som virksomhed har det en værdi i sig selv, at man arbejder med at få afdækket risici, får forbedret sikkerhedsforanstaltningerne og skabt operationelle politikker på området. Det kan få stor betydning for forretningen.”
Ansvar hos ledelsen
GDPR og NIS2 er ikke bare helt centrale juridiske rammer på dataområdet. De nye regler kræver også et organisatorisk og forretningskritisk blik, som virksomhedsledelsen skal tage ansvar for. Med NIS2, som træder i kraft senest i oktober 2024, vil ledelsen i virksomheder, der ikke lever op til direktivets krav, kunne stilles til ansvar og blive sanktioneret.
”Den digitale regulering er i vækst i EU, og vi ser ind i en fremtid med løbende nye krav inden for områder som databeskyttelse, AI og cybersikkerhed. Det kræver tid og ressourcer, så det kan være fristende at lægge fokus et andet sted, men som ledelse er det essentielt at være på forkant og være sig sit ansvar bevidst,” siger Maria Pilh Arendsdorf Bengtsen.
Men det er ikke nok, at ledelsen er bevidst om sit ansvar, for det er ude hos den enkelte medarbejder, som behandler data, at sikkerhedsbruddene sker.
”Det er afgørende, at datasikkerhed er forankret i ledelsen, men det stiller også krav til medarbejderne, som skal håndtere de nye krav i praksis, og råbe højt, hvis de støder på problemer. Her er det væsentligt, at ledelsen har udstukket klare retningslinjer, der tager højde for virkeligheden i organisationen. Det kræver, at man kender både strømmen af data og sin organisation,” påpeger Maria Pilh Arendsdorf Bengtsen.
Dataetik kan betyde konkurrencefordele
Cybersikkerhed er ikke det eneste, der skal være forankret i ledelsen. Det gælder også dataetik, som virksomheder i regnskabsklasse C stor og D siden 2021 har skullet redegøre for i deres årsrapport. Dataetik og databeskyttelse går ifølge advokat Emilie Loiborg hånd i hånd. Hun er specialist i digital forvaltning og har beskæftiget sig indgående med dataetiske problemstillinger.
”Dataetik handler overordnet om en god, ansvarlig praksis, når en virksomhed indsamler, bruger og deler data. Det handler desuden om tillid til virksomheden og virksomhedens brand udadtil. Dataetik, GDPR og de nye regler om cybersikkerhed i NIS2-direktivet har sat skub i en ny dagsorden, hvor både investorer såvel som samarbejdspartnere og kunder er meget opmærksomme på, hvordan virksomhederne agerer i forhold til brug af data. Fra alle sider bliver der stillet helt andre krav til virksomhederne end for bare få år siden.”
Og netop disse krav betyder, at det kan blive en konkurrencefordel at have styr på compliance.
”Virksomhederne risikerer at skulle betale bøder for at overtræde reglerne, løsepenge til hackere eller at miste kundernes tillid og dermed omsætning. At have styr på databeskyttelse, cybersikkerhed og dataetik kan endda for nogle virksomheder betyde, at de kan øge forretningen, fordi det i en tid med øget fokus på brug af data kan være med til at differentiere dem i markedet,” vurderer Emilie Loiborg.