Hvad er IT-compliance?
IT-compliance er evnen til at efterleve (og bevise, at I efterlever) de love, standarder og kontraktkrav, der gælder for jeres brug af IT. Det er altså ikke nok at have sikkerhed; I skal kunne dokumentere den: politikker, risikovurderinger, logninger, databehandleraftaler og beviser for, at kontrollerne faktisk kører. Hvad er compliance i praksis? Et løbende arbejde, hvor krav oversættes til kontroller, kontrollerne til drift, og driften til dokumentation.
GDPR, NIS2 og ISO 27001: hvad gælder for jer?
De tre regelsæt rammer forskelligt, men overlapper i indhold:
- GDPR gælder alle virksomheder, der behandler persondata, dvs. reelt alle. GDPR-compliance omfatter behandlingsgrundlag, databehandleraftaler, sletning og anmeldelse af brud. Datatilsynet er tilsynsmyndighed og har vejledninger til det meste.
- NIS2 gælder virksomheder i 18 samfundskritiske sektorer og stiller lovkrav om risikostyring, hændelsesrapportering og ledelsesansvar for cybersikkerhed.
- ISO 27001 er frivillig, men efterspørges i udbud og leverandøraftaler som dokumentation for et systematisk sikkerhedsarbejde.
Den gode nyhed: kravene peger samme vej. Risikovurderinger, adgangsstyring, backup, kryptering og beredskab kan dokumenteres én gang og genbruges på tværs af alle tre.
Hvad er forskellen på governance og compliance?
IT-governance er de interne rammer: hvem beslutter hvad om IT, hvordan prioriteres investeringer, hvem ejer risici, og hvordan følges der op. Compliance er efterlevelsen af de eksterne krav: love, standarder og kontrakter. Sammenhængen er enkel: Uden governance bliver compliance et brandslukningsprojekt, hver gang en kunde eller myndighed spørger. Med governance på plads er compliance et biprodukt af den måde, I allerede arbejder på. Ansvaret for begge dele ligger hos ledelsen; IT-afdelingen eksekverer, men kan ikke bære det alene.
Sådan dokumenterer I compliance
En praktisk tilgang i fire trin:
- Kortlæg kravene: hvilke love, standarder og kundekrav gælder for jer, og hvilke data og systemer omfatter de?
- Gap-analyse: sammenhold kravene med jeres nuværende kontroller og find hullerne.
- Luk hullerne med kontroller, der kan bevises: MFA, logning, adgangsstyring, testet backup og en beredskabsplan, altså teknik der efterlader dokumentation af sig selv.
- Drift og opfølgning: årshjul med interne kontroller, leverandørgennemgange og opdatering af risikovurderingen. Compliance er en proces, ikke et projekt.
Sådan hjælper MI Support IT
Vi oversætter compliance-krav til konkret IT: gap-analyser, implementering af tekniske kontroller og dokumentation, der holder over for revisorer og kunder. Det sker gennem IT-rådgivning og løbende IT-sikkerhed. Kontakt os, hvis I vil have overblik over, hvilke krav der reelt gælder for jeres virksomhed, og hvor langt I er fra at opfylde dem.