Specialister indenfor informationssikkerhed og data privacy skal i stigende grad samarbejde på tværs af de traditionelle fagområder for at sikre den nødvendige helhedsorienterede rådgivning til kunderne. Det er i hvert fald budskabet fra Lone Flohr og Bodil Hald Brabæk, som i deres tværfaglige samarbejde i den grad oplever fordelene ved at kunne afdække såvel de juridiske som cybersikkerhedsmæssige vinkler, når de hjælper kunderne.
Den teknologiske udvikling buldrer fortsat derudad, og reguleringen af data privacy og informationssikkerhed er samtidig stærkt stigende. Det stiller store krav til alle, som arbejder inden for disse områder. Juristen kan ikke blot fokusere på de databeskyttelsesretlige aspekter uden samtidig at identificere og håndtere snitfladerne til processer og teknologi for Informationssikkerhed. På samme måde udfordres specialisterne for informationssikkerhed, idet deres fagområde i stigende omfang rammes af en massiv tilgang af lovtekster, hvor det kan være svært at vurdere, hvilke krav den enkelte division i en organisation skal efterleve, specielt hvis virksomheden opererer indenfor flere forskellige sektorer.
De tværfaglige snitflader ses bl.a. tydeligt i arbejdet med GDPR, NIS2, DORA og den kommende AI-forordning.
GDPR – såvel organisatoriske som tekniske sikkerhedsforanstaltninger
Selvom mange organisationer arbejder ihærdigt med at efterleve GDPR, så er det en udfordring, at mange fortsat adskiller implementeringen af henholdsvis de organisatoriske og de tekniske sikkerhedsforanstaltninger. Ofte får juristerne og specialisterne for informationssikkerhed simpelthen ikke talt sammen – på trods af, at langt de fleste krav i forordningen forudsætter netop et sådant samarbejde.
Et godt eksempel er organisationernes arbejde med de lovpligtige risikovurderinger. Samarbejdes der ikke på tværs af fagområderne, er der stor risiko for, at man ikke får identificeret såvel de databeskyttelsesretlige som de mere tekniske trusler. Risikoen er ligeledes, at der ikke foretages en korrekt vurdering af dén iboende risiko, der er forbundet med behandlingsaktiviteten, ligesom fokusset for konsekvensvurderingen kan risikere at blive rettet fejlagtigt mod virksomhedens risiko fremfor de enkelte data subjekter.
NIS2 og DORA – krav om optimeret hændelseshåndtering, risiko- og leverandørstyring
Den vedvarende stigende cybertrussel bliver kontinuerligt mødt med nye skærpede cyber-lovgivningskrav fra myndighederne, som ikke er tilfredse med organisationernes parathed for at modstå ødelæggende cyberangreb. Organisationerne har modsat behov for at innovere en effektiv forvaltningsramme for cybersikkerhed, som simplificerer kompleksiteten og maksimerer effektiviteten, men samtidig adresserer morgendagens cybertrussel.
Med alle de nye lovgivningskrav, som kommer via NIS2, DORA og AI-forordningen, er det essentielt for den enkelte virksomhed, at de lykkes med at implementere en risikobaseret holistisk tilgang i forhold til at adressere alle lovgivningskrav og samtidig samtænke en hensigtsmæssig tværgående metodisk tilgang. Det bærende element i denne tilgang er en solid kortlægning af organisationens kritiske IT-aktiver - for hvis organisationen ikke har overblikket over, hvad der er vigtigst for at holde deres kerneforretning kørende, så kan man heller ikke prioritere effektivt.
Der er således en stor gevinst at hente for den enkelte virksomhed ved at sikre samhørighed i forhold til risikovurderinger, løbende kontrol og vedligeholdelse af sikkerhedsforanstaltninger samt leverandør- og beredskabsstyring ved en samtænkning at de forskellige compliancekrav.
Som udgangspunkt lyder det enkelt, men kompleksiteten stiger hurtigt til et ugennemskueligt rammeværk, såfremt der ikke er et solidt og tæt samarbejde på tværs af de forskellige faggrupper.