Debat

It-sikkerhedsspecialist: Det er et digitalt paradoks, når vi ikke kan navigere i krav til cybersikkerhed

Virksomheder har svært ved at navigere i sikkerhedsnedbrud. De skal efterleve regulativer og standarder, der trækker i hver sin retning. Det er et problem, når kravene går ind og svækker sikkerheden, skriver Torben Clemmensen.

For mange virksomheder – særligt dem i kritiske sektorer som energi, sundhed, finans og digital infrastruktur – er det ikke længere nok blot at have styr på sikkerheden, skriver Torben Clemmensen. — For mange virksomheder – særligt dem i kritiske sektorer som energi, sundhed, finans og digital infrastruktur – er det ikke længere nok blot at have styr på sikkerheden, skriver Torben Clemmensen.Foto: Boris Roessler/AP/Ritzau Scanpix

11. juni 2025 kl. 02.00

Torben Clemmensen

It-sikkerhedsspecialist & nordisk ansvarlig, Secuinfra

Dette indlæg er alene udtryk for skribentens egen holdning. Alle indlæg hos Altinget skal overholde de presseetiske regler.

Forestil dig, at du står midt i et kontrolrum med ét dashboard til cybersikkerhed, ét til databeskyttelse, ét til finansiel driftssikkerhed og to ekstra skærme til ISO og NIST.

Så ringer telefonen: Du har et sikkerhedsbrud. Hvilket regelsæt reagerer du efter først?

For mange virksomheder – særligt dem i kritiske sektorer som energi, sundhed, finans og digital infrastruktur – er det ikke længere nok blot at have styr på sikkerheden.

Nej, de skal også efterleve et stigende antal regulativer og standarder, som hver især stiller egne krav til rapportering, datalagring, ansvar og dokumentation.

Dog er det digitale sikkerhedsparadoks, at vi i forsøget på at beskytte både systemer og mennesker, risikerer at gøre det umuligt at navigere.
Torben Clemmensen
It-sikkerhedsspecialist

Problemet er, at disse krav ikke altid spiller sammen. Nogle gange trækker de ligefrem i hver sin retning, og så er spørgsmålet, hvilket et man skal fokusere på og prioritere.

Krav til sikkerhed trækker i hver sin retning

Med NIS2-direktivet vil EU sikre stærkere cybersikkerhed, GDPR vil beskytte borgernes data og rettigheder, og DORA skal sikre finansiel modstandsdygtighed i en digital verden.

Oven i det har vi ISO 27001, 27701 og NIST-rammeværker, som mange virksomheder bruger som struktureret modstykke til de juridiske krav.

Hver for sig giver de mening, men sammen bliver det komplekst.

Eksempelvis kræver både NIS2 og DORA, at virksomheder logger omfattende mængder data – inklusive brugeradfærd og netværkstrafik – for at kunne opdage og analysere trusler. Men GDPR stiller krav om dataminimering og begrænset opbevaring.

Hvad gør man, når sikkerheden kræver data i fem år, men GDPR siger slet efter to måneder?

Eller tag rapporteringsfrister: GDPR kræver, at databrud anmeldes inden for 72 timer. NIS2 og DORA siger 24 timer – og for finanssektoren helst endnu hurtigere. Har man ét samlet incident response-team eller tre forskellige?

Læs også

Økonomiaftale giver kommunerne flere penge, men de vil ikke bruge dem på beredskabet

Løsninger ligger i at tænke holistisk

I praksis skal man designe sin beredskabsplan efter den korteste deadline, men det kræver ressourcer og koordinering, særligt når de forskellige rapporteringsfrister heller ikke kræver det samme indhold.

EU har godt nok forsøgt at skabe sammenhæng. DORA er eksempelvis erklæret "lex specialis" over NIS2, hvilket betyder, at finansielle virksomheder først og fremmest skal følge DORA, hvor reglerne overlapper.

Men det fritager dem ikke fra at tænke i bredere compliance. For de samme hændelser, data og systemer vil ofte være omfattet af flere regelsæt på én gang.

Resultatet er, at compliance ikke længere blot er et juridisk eller teknisk ansvar. Det er blevet en organisatorisk disciplin i sig selv.

En del af løsningen ligger i at tænke holistisk. Det er ikke muligt – eller klogt – at forsøge at opfylde hvert regulativ isoleret.
Torben Clemmensen
It-sikkerhedsspecialist

Man skal mestre begreber som "privacy by design", men også kunne svare på, hvor længe man opbevarer netværkslogs, hvordan man segmenterer adgang til følsomme data, og hvem der har det endelige ansvar, når noget går galt.

En del af løsningen ligger i at tænke holistisk. Det er ikke muligt – eller klogt – at forsøge at opfylde hvert regulativ isoleret.

I stedet skal virksomheder arbejde mod ét samlet governance-setup, hvor eksempelvis ISO 27001 danner rygraden i et integreret ledelsessystem, og hvor sikkerhedsfolk og DPO'er arbejder sammen – ikke hver for sig.

Men det kræver, at ledelsen tager ejerskab.

Smid redskaberne – ikke ansvaret

NIS2 og DORA placerer i stigende grad ansvaret hos topledelsen, og sanktionerne er tilsvarende skærpede. Det er ikke længere nok at pege på CISO'en eller DPO'en, når myndighederne spørger.

Man skal kunne dokumentere, hvordan man balancerer modstridende krav og træffer informerede valg. Ellers kan det endda koste bestyrelsesposter.

Læs også

Politisk tale

Troels Lund: Jeg forventer jordbaseret luftforsvaret er operativt i 2026

Er det umuligt at overholde alle regler fuldt ud? I praksis: ja, men det betyder ikke, at man ikke skal gøre sit bedste for at blive compliant.

Ved at tænke compliance som en strategisk investering – ikke bare en nødvendighed – kan virksomheder både reducere risiko og opbygge tillid.

Og når man ikke kan alt, så gør det bedst mulige: dokumentér, monitorer, begrund og prioriter. NIS2 eksempelvis er ikke en destination, men en rejse, hvor det vigtigste er, at man gør noget.

Dog er det digitale sikkerhedsparadoks, at vi i forsøget på at beskytte både systemer og mennesker, risikerer at gøre det umuligt at navigere.

Vi har brug for forenkling og klarere vejledninger, men vi har også brug for, at virksomheder tager førertrøjen på og siger: Vi vil ikke bare være compliant. Vi vil være forberedt.

Omtalte personer