Spring til hovedindhold

Compliance

Hvad er IT-compliance?

IT-compliance er at kunne dokumentere, at jeres IT lever op til lovgivning og standarder. Få overblik over GDPR, NIS2 og ISO 27001 ét sted.

Kort sagt

IT-compliance betyder, at virksomhedens IT-anvendelse lever op til gældende lovgivning, standarder og kontraktkrav, og at I kan dokumentere det over for kunder, myndigheder og revisorer.

For danske virksomheder handler det typisk om tre regelsæt: GDPR for persondata, NIS2 for cybersikkerhed i kritiske sektorer og ISO 27001 som den standard, kunder og samarbejdspartnere oftest efterspørger som bevis på styr på sikkerheden. Compliance er vigtigt, fordi manglende efterlevelse kan koste bøder, tabte kontrakter og tillid, og fordi kravene i stigende grad sendes videre gennem leverandørkæden, så også mindre virksomheder mødes med dem.

Tre pointer: compliance er dokumentation af praksis, ikke kun politikker på papir; kravene fra de forskellige regelsæt overlapper, så arbejdet kan genbruges på tværs; og ansvaret ligger hos ledelsen, ikke hos IT-afdelingen alene. MI Support IT hjælper danske virksomheder med at omsætte compliance-krav til konkrete tekniske løsninger og dokumentation.

Tilbage til ordbogen

Hvad er IT-compliance?

IT-compliance er evnen til at efterleve (og bevise, at I efterlever) de love, standarder og kontraktkrav, der gælder for jeres brug af IT. Det er altså ikke nok at have sikkerhed; I skal kunne dokumentere den: politikker, risikovurderinger, logninger, databehandleraftaler og beviser for, at kontrollerne faktisk kører. Hvad er compliance i praksis? Et løbende arbejde, hvor krav oversættes til kontroller, kontrollerne til drift, og driften til dokumentation.

GDPR, NIS2 og ISO 27001: hvad gælder for jer?

De tre regelsæt rammer forskelligt, men overlapper i indhold:

  • GDPR gælder alle virksomheder, der behandler persondata, dvs. reelt alle. GDPR-compliance omfatter behandlingsgrundlag, databehandleraftaler, sletning og anmeldelse af brud. Datatilsynet er tilsynsmyndighed og har vejledninger til det meste.
  • NIS2 gælder virksomheder i 18 samfundskritiske sektorer og stiller lovkrav om risikostyring, hændelsesrapportering og ledelsesansvar for cybersikkerhed.
  • ISO 27001 er frivillig, men efterspørges i udbud og leverandøraftaler som dokumentation for et systematisk sikkerhedsarbejde.

Den gode nyhed: kravene peger samme vej. Risikovurderinger, adgangsstyring, backup, kryptering og beredskab kan dokumenteres én gang og genbruges på tværs af alle tre.

Hvad er forskellen på governance og compliance?

IT-governance er de interne rammer: hvem beslutter hvad om IT, hvordan prioriteres investeringer, hvem ejer risici, og hvordan følges der op. Compliance er efterlevelsen af de eksterne krav: love, standarder og kontrakter. Sammenhængen er enkel: Uden governance bliver compliance et brandslukningsprojekt, hver gang en kunde eller myndighed spørger. Med governance på plads er compliance et biprodukt af den måde, I allerede arbejder på. Ansvaret for begge dele ligger hos ledelsen; IT-afdelingen eksekverer, men kan ikke bære det alene.

Sådan dokumenterer I compliance

En praktisk tilgang i fire trin:

  1. Kortlæg kravene: hvilke love, standarder og kundekrav gælder for jer, og hvilke data og systemer omfatter de?
  2. Gap-analyse: sammenhold kravene med jeres nuværende kontroller og find hullerne.
  3. Luk hullerne med kontroller, der kan bevises: MFA, logning, adgangsstyring, testet backup og en beredskabsplan, altså teknik der efterlader dokumentation af sig selv.
  4. Drift og opfølgning: årshjul med interne kontroller, leverandørgennemgange og opdatering af risikovurderingen. Compliance er en proces, ikke et projekt.

Sådan hjælper MI Support IT

Vi oversætter compliance-krav til konkret IT: gap-analyser, implementering af tekniske kontroller og dokumentation, der holder over for revisorer og kunder. Det sker gennem IT-rådgivning og løbende IT-sikkerhed. Kontakt os, hvis I vil have overblik over, hvilke krav der reelt gælder for jeres virksomhed, og hvor langt I er fra at opfylde dem.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.