IT compliance der holder i praksis – ikke kun på papiret
Kravene til datasikkerhed og dokumentation vokser år for år. GDPR har været gældende siden 2018, NIS2-direktivet er rullet ud i Danmark, ISO 27001 efterspørges i stadig flere udbud, og DORA stiller skrappe krav til finanssektoren. For mange virksomheder er det blevet svært at gennemskue, hvad der egentlig gælder for dem – og hvor de skal starte.
Det er præcis dér, vi kommer ind i billedet. Hos Azend hjælper vi danske virksomheder med at få overblik over deres forpligtelser, lukke de huller der betyder mest, og holde compliance vedlige over tid. Vi lytter først og rådgiver bagefter – og vi siger tingene, som de er. Ingen skræmmekampagne, ingen overflødige standardpakker. Bare konkret hjælp til at få styr på det.
Hvad er IT compliance?
IT compliance dækker over, at din virksomheds it-systemer, data og arbejdsgange lever op til de love, standarder og brancheregler, I er underlagt. Helt konkret handler det om, at I indsamler data lovligt og ikke mere end nødvendigt, opbevarer det sikkert, kun giver adgang til dem der har brug for det, og kan dokumentere det hele, hvis Datatilsynet, en kunde eller en revisor spørger.
Det er vigtigt at skille tingene ad: it-sikkerhed handler om at beskytte jeres systemer mod trusler, mens compliance handler om at kunne bevise, at I gør det rigtige – og lever op til gældende krav. De to ting hænger uløseligt sammen, men de er ikke det samme. Man kan godt have høj teknisk sikkerhed og stadig være non-compliant, hvis dokumentationen og processerne ikke er på plads.
I praksis er IT compliance sjældent ét regelsæt. De fleste danske virksomheder skal forholde sig til flere på én gang – persondata (GDPR), cybersikkerhed (NIS2), informationssikkerhed (ISO 27001) og, for finansielle virksomheder, DORA. De overlapper i høj grad, og derfor giver det sjældent mening at løse dem hver for sig. Vi anbefaler næsten altid en samlet tilgang, hvor ét solidt fundament dækker flere krav – det er både billigere og mere holdbart. Du kan læse mere om vores tilgang til it-sikkerhed og cyber security.
Hvorfor er IT compliance vigtigt for din forretning?
Compliance bliver ofte opfattet som en sur pligt – noget man gør for myndighedernes skyld. Men i vores erfaring er det lige omvendt: De virksomheder, der har styr på deres compliance, sover bedre om natten, vinder flere opgaver og bruger mindre tid på brandslukning. Her er de tre vigtigste grunde.
Undgå bøder og personligt ansvar
NIS2 kan placere et direkte ansvar hos ledelsen, og overtrædelser af GDPR kan udløse bøder i millionklassen. Set i det lys er compliance en billig forsikring – og langt billigere end et databrud, der rammer både økonomi og omdømme.
Vind opgaver og kundernes tillid
Flere og flere kunder – især i det offentlige og i store koncerner – kræver dokumenteret datasikkerhed, før de overhovedet vil i dialog. God compliance er ikke længere kun risikostyring; det er blevet en konkurrencefordel, der åbner døre.
Ro i driften og færre overraskelser
Når politikker, backup, adgangsstyring og beredskab er på plads, slipper I for at slukke brande. I ved, hvad I gør, hvis uheldet er ude – og I kan bruge energien på at udvikle forretningen i stedet for at bekymre jer.
Hvad kræver det at være – og forblive – compliant?
Compliance er ikke ét dokument, du udfylder én gang. Det er en løbende disciplin, der består af en række konkrete byggesten. Når vi laver en gennemgang, kigger vi typisk på, om følgende er på plads og opdateret:
- Risikovurdering – et opdateret overblik over jeres væsentligste trusler og sårbarheder
- Politikker og procedurer for informationssikkerhed, som medarbejderne faktisk kender og bruger
- Databehandleraftaler med jeres leverandører – og styr på, hvor jeres data egentlig ligger
- Adgangsstyring efter mindste-privilegie-princippet, så folk kun har adgang til det nødvendige
- Backup og en testet plan for at gendanne data, hvis noget går galt
- Logning og overvågning, så I kan opdage og dokumentere hændelser
- Et beredskab for håndtering af sikkerhedshændelser og brud på persondata (72-timers fristen)
- Awareness-træning, så medarbejderne bliver et aktiv frem for det svageste led
Ingen virksomheder har det hele på plads fra dag ét – og det er helt normalt. Pointen er ikke at gøre alt på én gang, men at vide præcis hvor I står, og tage de vigtigste ting først.
De vigtigste regler og standarder – kort forklaret
Her er de fire regelsæt, vi oftest hjælper danske virksomheder med at navigere. De overlapper, og et godt fundament dækker som regel flere af dem på én gang.
GDPR – beskyttelse af persondata
Gælder for stort set alle virksomheder, der behandler personoplysninger. Kræver lovligt grundlag, dataminimering, sikker opbevaring og evnen til at dokumentere jeres behandling – fx via fortegnelser og databehandleraftaler. Vores GDPR Managed holder jer løbende compliant, så det ikke bliver et engangsprojekt, der forældes.
NIS2 – skærpet cybersikkerhed
EU-direktiv der markant udvider, hvem der er omfattet af krav til cybersikkerhed og risikostyring. Det rammer ikke kun kritisk infrastruktur, men også mange mellemstore virksomheder og underleverandører til omfattede organisationer. Kravene omfatter bl.a. risikostyring, hændelsesrapportering og et tydeligt ledelsesansvar.
ISO 27001 – ledelsessystem for informationssikkerhed
International standard for systematisk styring af informationssikkerhed. Den efterspørges i stigende grad i udbud og af store kunder. Et velimplementeret ISO 27001-system dækker store dele af både GDPR og NIS2, fordi mange kontroller går igen – derfor er det ofte et stærkt fundament at bygge på.
DORA – digital modstandsdygtighed i finans
Stiller specifikke krav til finansielle virksomheder og deres it-leverandører om bl.a. risikostyring, test og leverandørstyring. Arbejder du i finanssektoren, kombinerer vi typisk DORA med de øvrige rammeværker. Se vores løsninger til finanssektoren.
De typiske faldgruber vi ser i praksis
Efter at have hjulpet virksomheder på tværs af brancher ser vi de samme fejl gå igen. De fleste skyldes ikke uvilje, men travlhed og manglende overblik. Her er dem, der oftest koster dyrt:
- Politikker der står i en skuffe – skrevet for revisorens skyld, men aldrig forankret hos medarbejderne
- Manglende databehandleraftaler med fx cloud-leverandører og eksterne systemer
- Backup der aldrig er blevet testet – så man først opdager problemet, når data skal gendannes
- Gamle brugerkonti og for brede adgange, der aldrig bliver ryddet op
- Compliance behandlet som et engangsprojekt frem for en løbende rutine
- Ingen plan for, hvad man gør de første timer efter et databrud eller hackerangreb
Den gode nyhed: De fleste af disse faldgruber er hurtige at lukke, når man først har fået dem frem i lyset. Det er netop derfor, vi altid starter med en grundig gennemgang.
Sådan hjælper Azend dig i mål
Vi tror på, at god it starter med forståelse. Derfor begynder vi aldrig med en færdig pakke – men med en samtale om din forretning, dine data og dine mål. Vi sætter os ind i jeres virkelighed, før vi anbefaler noget som helst. Det er den samme tilgang, vi bruger på tværs af alle vores ydelser, fra it-outsourcing til it-drift.
- Compliance-gennemgang og risikovurdering af jeres nuværende setup – uden teknisk overflødigt jargon
- En konkret, prioriteret handleplan med de vigtigste tiltag først – ikke en 100-siders rapport, ingen læser
- Løbende GDPR- og sikkerhedsdrift via vores managed services, så I forbliver compliant over tid
- Awareness-træning og sparring, så jeres medarbejdere bliver jeres første forsvar i stedet for det svageste led
- Fleksibel adgang til specialister, når I har brug for ekstra hænder eller en uvildig vurdering
Sådan kommer du i gang – tre trin
Vi starter ikke med løsninger. Vi starter med at forstå. Sådan ser et typisk forløb ud, fra første samtale til løbende drift.
01
Vi lytter og kortlægger
Vi gennemgår jeres systemer, data og arbejdsgange og afklarer, hvilke regler der faktisk gælder for jer. I får et ærligt billede af, hvor I står i dag – styrker såvel som huller.
02
Vi lægger en plan sammen
I får en prioriteret handleplan, hvor det vigtigste kommer først. Vi forklarer hvorfor, så I kan træffe beslutninger på et oplyst grundlag – ikke på frygt.
03
Vi eksekverer og drifter sammen
Compliance er en løbende disciplin, ikke et projekt med en slutdato. Vi hjælper med at implementere og holde det vedlige, så I bliver ved med at være compliant – også når reglerne ændrer sig.
Compliance ser forskellig ud fra branche til branche
Kravene – og risikoen – afhænger i høj grad af, hvilken branche I er i. En advokatvirksomhed håndterer fortrolige klientoplysninger, en finansiel virksomhed er bundet af DORA, og i sundhedssektoren gælder der skærpede krav til følsomme personoplysninger. Vi har erfaring med de specifikke krav på tværs af sektorer:
Uanset branche tager vi udgangspunkt i jeres konkrete situation. Vil du se eksempler på, hvordan vi har hjulpet andre? Læs vores cases.
Gør som over 200 andre virksomheder
“Vi oplever tryghed i, at vi bliver hjulpet, når vi står med en udfordring – uanset om det er IT eller fysiske elementer.”
Tina Stendal Svendsen
Direktør, Zampell A/S Danmark
Mød menneskene bag rådgivningen
Compliance handler om tillid – og tillid bygger man mellem mennesker, ikke mellem systemer. Hos os møder du rådgivere, der ikke bare er fagligt skarpe, men også nærværende, nysgerrige og til at tale med. Vi siger tingene, som de er, og vi står ved vores anbefalinger. Det er den slags partner, du har brug for, når det handler om noget så vigtigt som jeres data og jeres ansvar. Mød vores IT-rådgivere og se, hvem du kommer til at arbejde sammen med.
Vi har rødder i Ikast, Esbjerg og Skanderborg, men hjælper virksomheder i hele Danmark. Vil du vide mere om, hvem vi er? Læs om Azend.
Ofte stillede spørgsmål om IT compliance
Hvad er forskellen på GDPR, NIS2 og ISO 27001?
GDPR er lovgivning om behandling af persondata. NIS2 er et EU-direktiv, der stiller krav til cybersikkerhed og risikostyring. ISO 27001 er en frivillig international standard for informationssikkerhed. De overlapper i høj grad, og et godt ISO 27001-fundament gør det markant nemmere at leve op til både GDPR og NIS2, fordi mange af kravene går igen.
Er min virksomhed omfattet af NIS2?
Flere virksomheder er omfattet, end de fleste tror. Som tommelfingerregel rammer NIS2 organisationer i en række udpegede sektorer samt deres underleverandører – ofte fra en vis størrelse målt på antal ansatte og omsætning. Men der er nuancer, og det bedste er at få det vurderet konkret. Det gør vi gerne som en del af en indledende gennemgang.
Hvor lang tid tager det at blive compliant?
Det afhænger helt af jeres udgangspunkt. Nogle virksomheder mangler kun enkelte brikker, mens andre starter mere eller mindre forfra. Efter en indledende gennemgang giver vi jer en realistisk tidslinje – og vi starter altid med det, der reducerer mest risiko hurtigst, så I får værdi fra begyndelsen.
Hvad koster det at få hjælp til IT compliance?
Prisen afhænger af omfanget – om I har brug for en enkelt gennemgang, et implementeringsforløb eller løbende drift via managed services. Vi giver altid en gennemsigtig pris baseret på jeres konkrete behov, og vi anbefaler aldrig mere, end I har brug for. Book en uforpligtende samtale, så finder vi ud af, hvad der giver mening for jer.
Kan I overtage den løbende compliance-drift?
Ja. Det er ofte her, den største værdi ligger. Med vores GDPR Managed og managed services holder vi jeres compliance vedlige løbende – opdaterer politikker, følger op på leverandøraftaler og holder øje med ændringer i lovgivningen – så det ikke bliver et engangsprojekt, der hurtigt forældes.
Hjælper I også, hvis vi allerede har haft et databrud eller en hændelse?
Ja. Vi hjælper både med at håndtere den akutte situation og med at lære af den, så I står stærkere fremover. Et brud er ofte den dyreste, men også den mest lærerige måde at opdage, hvor hullerne var – og vi sørger for, at de bliver lukket.
Klar til at få styr på din IT compliance?
Book en uforpligtende gennemgang, så får du et klart billede af, hvor du står, og hvad der skal til. Ingen forpligtelser, ingen skræmmekampagne – bare konkret, ærlig rådgivning fra mennesker, der har gjort det før.