Compliance Digital Compliance: Overblik over EU's IT-Sikkerhedsregler

De seneste år er der kommet flere nye EU-regler, som stiller krav til organisationers IT-sikkerhed. Få et samlet overblik over GDPR, NIS2, AI-forordningen, CRA, Data Act og DORA.

Digital compliance overblik med EU-flag og ikoner for GDPR, NIS2, AI-forordningen, CRA, Data Act og DORA cybersikkerhedsregler

De seneste år er der kommet flere nye EU-regler, som har det til fælles, at de stiller krav til organisationers IT-sikkerhed.

Reglerne er blevet indført for at øge sikkerheden på tværs af EU, samt for at ensrette lovgivningen på området og på tværs af medlemslandene, så konkurrencevilkårene er de samme for alle.

I et forsøg på at skabe et overblik til dig, så har vi lavet denne artikel, hvor essensen i forskellige regelsæt gennemgås, og du kan finde links til regelsættene, så du kan læse nærmere om disse.

GDPR

GDPR er en EU-forordning, som regulerer behandlingen af persondata. GDPR-reglerne kræver, at alle organisationer, der behandler persondata til andet end egne personlige forhold, skal efterleve GDPR-reglerne.

For at give dig et hurtigt indblik i reglerne, så kan du her se nogle af de mest betydningsfulde krav i GDPR-reglerne:

Databeskyttelsesprincipperne
Dokumentationskrav
Du skal have hjemmel i GDPR til enhver behandling af personoplysninger fx samtykke, kontrakt, mv.
De registreredes rettigheder
Fortegnelse over behandlingsaktiviteter (Artikel 30)
Risikovurdering af alle behandlinger af personoplysninger
Implementering af tekniske og organisatoriske foranstaltninger
Databehandleraftale
Databeskyttelsesrådgiver
Fornødne garantier ved overførsel af persondata til tredjelande
Underretning af brud på persondatasikkerheden

Du kan finde GDPR-reglerne her.

NIS2

NIS2 er et EU-direktiv, som stiller krav til cybersikkerheden for organisationer og virksomheder, der betragtes som kritiske for samfundet. Det er derfor ikke alle organisationer, der er omfattet af NIS2-reglerne.

NIS2 omfatter organisationer i sektorer som eksempelvis energi, transport, sundhed, digital infrastruktur og mange andre sektorer, samt leverandørerne til organisationerne i disse sektorer. Du kan se alle sektorerne i NIS2' bilag 1 og bilag 2.

De centrale krav i NIS2 er følgende:

Man skal have politikker for risikoanalyse og informationssystemsikkerhed, samt sikre inddragelse af ledelsen i beslutningstagningen
Effektiv håndtering af sikkerhedshændelser
Man skal kunne sikre driftskontinuitet, hvilket stiller krav til backup-styring og reetablering efter en katastrofe, og krisestyring
Man skal sikre sin forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere
Man skal etablere sikker erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, samt håndtering og offentliggørelse af sårbarheder
Man skal have politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici
Man skal uddanne medarbejdere i grundlæggende IT-sikkerhed, og sikre behørig adfærd
Man skal have politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering
Man skal etablere personalesikkerhed, adgangskontrolpolitikker og sikker forvaltning af aktiver
Man skal anvende multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i enheden, hvor det er relevant

Du kan læse NIS2-direktivet her.

AI-forordningen

AI-forordningen er en EU-forordning, som regulerer måden hvorpå kunstig intelligens (AI-systemer) udvikles, anvendes og markedsføres. Formålet med lovgivningen er at sikre, at AI-systemer er pålidelige og overholder EU-borgernes grundlæggende rettigheder.

Reglerne gælder både for såkaldte 'udbydere' og 'idriftsættere' af AI-systemer i EU, og dette gælder uanset om AI-systemet er udviklet inden for EU eller uden for EU.

I modsætning til mange andre regelsæt, så er der ikke et sæt af minimumskrav i AI-forordningen, som alle skal efterleve. I stedet tages i AI-forordningen en risikobaseret tilgang til AI-systemer, og reglerne afhænger derfor af de anvendte AI-systemer, og hvad de anvendes til, samt risikoen for mennesker og samfund.

Der er dog nogle krav som gælder på tværs af de fleste virksomheder, og særligt som AI-systemer udbredes mere og mere i samfundet, og bliver anvendt af flere organisationer:

Alle 'udbydere' og 'idriftsættere' af AI-systemer skal uddanne alle medarbejdere, leverandører mv., som tager del i udviklingen, driften eller anvendelsen af AI-systemet. Det gælder altså både organisationen, der udvikler nye AI-systemer, samt organisationen der blot anvender 'almindelig software' med kunstig intelligens integreret. Dette kunne være anvendelsen af et CRM-system med en AI chatbot eller brugen af ChatGPT til at udføre sit arbejde.
Hvis du implementerer AI-systemer, som dine brugere interagerer med, så er der også krav om, at det skal være tydeligt for brugeren, at de interagerer med et AI-system, og altså ikke et menneske.
Nogle typer AI-systemer forbydes i forordningen, hvilket typisk er AI-systemer der manipulerer menneskers adfærd eller bruges til at score mennesker og deres adfærd.
En betydelig del af AI-forordningen fokuserer på højrisiko-AI-systemer med krav til sikkerhedsforanstaltninger, dokumentation, kvalitetssikring, overvågning og meget mere.

Hvis du arbejder med eller overvejer at bruge AI i din organisation, er det vigtigt, at du får startet med følgende:

Skaf et overblik over anvendelsen af AI i alle systemer og arbejdsprocesser
Klassificerer systemerne og arbejdsprocesserne ift hvad AI-systemerne faktisk gør og til hvilket formål
Foretag en risikovurdering med henblik på, om anvendelsen heraf kan udgøre en risiko for menneskers rettigheder

Når du har kortlagt risikoen ved anvendelsen af AI-systemer, så har du grundlaget for at identificere og indsnævre hvilke elementer af AI-forordningen, som netop din organisation skal efterleve.

Du kan finde hele AI-forordningen her.

Forordningen om cyberrobusthed (Cyber Resilience Act)

Forordningen om cyberrobusthed (CRA) er en EU-forordning, der har til formål at forbedre cybersikkerheden i alle produkter med digitale elementer, dvs. produkter der eksempelvis indeholder software, apps, hvilket fx kan være smart devices. CRA gælder altså produkter med digitale elementer, hvilket kan være både hardware og software, som leveres enten fysisk eller digitalt til brugeren. Rene online services som fx SaaS er ikke omfattet, hvis platformen kun kan tilgås via browser og ikke installeres lokalt på en computer.

Hvad kræver forordningen i praksis?

Forordningen stiller krav om at tænke cybersikkerhed ind i hele produktets livscyklus, fra udvikling til vedligeholdelse. Målet er at beskytte både forbrugere og virksomheder og gøre det lettere for disse at vælge sikre produkter dokumenteret deres sikkerhed jf. EU's krav.

Kravene gælder alle producenter, importører eller distributører af digitale produkter i EU, som derfor er ansvarlige for, at produkterne er sikre. CRA gælder ikke for produkter med digitale elementer indenfor sektorerne der arbejder med medicinsk udstyr, bilproduktion, flyproduktion og skibsudstyr, da disse områder allerede er dækket af mere specifikke EU-regler.

Produkterne skal leveres med brugervenlig dokumentation, så det er tydeligt for brugeren, hvordan man sikrer og konfigurerer produktet korrekt. Derudover, må produkterne kun sælges i EU, hvis de opfylder kravene og bærer CE-mærket som bevis. Hvis der opdages alvorlige sårbarheder, skal leverandøren anmelde dem til myndighederne senest 24 timer efter opdagelsen.

Nogle typer produkter, som vurderes at have særlig betydning for cybersikkerheden, er underlagt skærpede krav, fx operativsystemer, firewalls og password managers.

Læs om forordningen Cyber Resilience Act her.

Data Act - Dataforordningen

Dataforordningen (Data Act) er en EU-forordning med formål at sikre en retfærdig og gennemsigtig adgang til brugergenereret data. Reglerne har særligt fokus på data, der skabes gennem brugen af forbundne produkter, hvilket typisk kendes som IoT (Internet of Things). Det kan være et køleskab med indbyggede sensorer og computer, eller industrimaskiner og landbrugsudstyr, hvis disse indsamler data og er koblet til internettet.

Hensigten med loven er at understøtte datadrevet innovation.

Med dataforordningen får både virksomheder og privatpersoner ret til at tilgå og dele den data, de skaber ved brugen af deres produkter. For eksempel kan man få adgang til en maskines driftsdata og vælge at dele data med en tredjepart, fx en uafhængig reparatør, som med brug af disse data bedre kan foretage reparationerne. Derfor skal virksomhederne også informere brugerne om dataindsamlingens indhold, metoder og hyppighed, så det er let for brugeren at anmode om adgang til data.

Forordningen sætter også rammerne for, hvornår virksomheder skal dele data med hinanden, også selvom de er konkurrenter. Samtidig beskytter den virksomheder mod urimelige kontraktvilkår, især i situationer hvor én part har en stærk position i markedet.

Læs mere om Dataforordningens mange krav her.

DORA

EU-forordningen DORA (Digital Operational Resilience Act) stiller krav til, hvordan virksomheder i finanssektoren skal håndtere IT-sikkerheden. Reglerne har til formål at sikre, at finansielle virksomheder kan modstå, håndtere og komme sig efter IT-hændelser, fx cyberangreb, systemnedbrud eller databrud.

Reglerne omfatter flere aktører i den finansielle sektor, herunder banker, forsikringsselskaber, investeringsselskaber, pensionskasser og udvalgte IT-leverandører til disse.

Med DORA stilles der bl.a. krav om, at virksomhederne:

Etablerer en IT-sikkerhedsstrategi, som indeholder klare roller og ansvar for IT-sikkerheden
Gennemfører løbende risikovurderinger
Tester deres IT-beredskab via bl.a. penetrationstest
Registrerer IT-hændelser og underretter myndigheder og interessenter om disse, samt har en effektiv beredskabsplan
Har kontrol med leverandørkæden fx tredjepartsleverandører, der leverer kritiske IT-services, og indgår kontrakter med disse om cybersikkerhed og hændelseshåndtering

DORA stiller betydelige krav til den finansielle sektor, og hele EU-forordningen kan læses her.

Compliance med flere regelsæt

I dag er det sjældent nok blot at overholde GDPR-reglerne, da mange organisationer er omfattet af flere compliance frameworks fx NIS2 for kritisk infrastruktur og DORA i den finansielle sektor.

Derfor har mange organisationer behov for at holde styr på flere compliance frameworks samtidig, og her kan en compliance platform hjælpe med at samle alt ét sted.

Compliance platformen fra .legal giver med sit 'Frameworks' modul dig overblik over kravene, guider dig gennem risikovurderinger, dokumentation og leverandørstyring, samt hjælper med den løbende opfølgning og rapportering, så du lettere kan sikre, at jeres processer og tekniske foranstaltninger lever op til reglerne på tværs af lovgivningen.

Book en demo og se, hvordan .legal kan hjælpe din organisation med at håndtere flere compliance frameworks.

Ofte stillede spørgsmål om Digital Compliance

Hvad er digital compliance?

Digital compliance dækker over de EU-regler, der stiller krav til organisationers IT-sikkerhed og håndtering af data. Det omfatter bl.a. GDPR, NIS2, AI-forordningen, CRA, Data Act og DORA. Reglerne er indført for at øge sikkerheden på tværs af EU og ensrette lovgivningen mellem medlemslandene.

Hvilke EU-regler skal min organisation overholde?

Det afhænger af din organisation. GDPR gælder alle der behandler persondata. NIS2 gælder kritiske sektorer med 50+ ansatte. AI-forordningen gælder alle der udvikler eller anvender AI-systemer. CRA gælder producenter af digitale produkter. Data Act gælder IoT-producenter. DORA gælder finanssektoren.

Hvad er forskellen mellem GDPR og NIS2?

GDPR fokuserer på beskyttelse af persondata og gælder alle organisationer, der behandler personoplysninger. NIS2 fokuserer på cybersikkerhed for kritisk infrastruktur og gælder kun organisationer i specifikke sektorer som energi, transport, sundhed og digital infrastruktur med over 50 ansatte.

Hvad er AI-forordningen?

AI-forordningen er en EU-forordning, der regulerer udvikling, anvendelse og markedsføring af AI-systemer. Den tager en risikobaseret tilgang, hvor kravene afhænger af AI-systemets risiko for mennesker og samfund. Alle der anvender AI skal sikre AI-færdigheder hos medarbejdere.

Hvad er Cyber Resilience Act (CRA)?

CRA er en EU-forordning, der stiller krav til cybersikkerhed i produkter med digitale elementer som smart devices og software. Producenter, importører og distributører skal sikre, at produkterne er sikre gennem hele livscyklussen og bærer CE-mærket.

Hvad er Data Act?

Dataforordningen (Data Act) sikrer retfærdig og gennemsigtig adgang til brugergenereret data, særligt fra IoT-produkter. Brugere får ret til at tilgå og dele data, de skaber ved brug af produkter, fx med uafhængige reparatører.

Hvad er DORA?

DORA (Digital Operational Resilience Act) stiller krav til IT-sikkerhed i finanssektoren. Banker, forsikringsselskaber og andre finansielle virksomheder skal have IT-sikkerhedsstrategier, gennemføre risikovurderinger, teste IT-beredskab og have kontrol med leverandørkæden.

Hvordan håndterer jeg flere compliance frameworks?

Mange organisationer er omfattet af flere compliance frameworks samtidig. En compliance platform kan hjælpe med at samle alt ét sted, give overblik over kravene, guide gennem risikovurderinger og dokumentation, samt hjælpe med løbende opfølgning på tværs af lovgivningen.

Hvornår træder de nye EU-regler i kraft?

GDPR har været gældende siden 2018. NIS2 skal efterleves fra oktober 2024. AI-forordningen indfases gradvist fra 2024-2027. CRA og Data Act har forskellige implementeringsfrister. DORA gælder fra januar 2025. Tjek de specifikke forordninger for præcise datoer.

Hvad sker der hvis jeg ikke overholder reglerne?

Sanktionerne varierer mellem regelsættene. GDPR kan give bøder op til 4% af global omsætning. NIS2 kan give bøder op til €10 millioner eller 2% af omsætningen. AI-forordningen har bøder op til €35 millioner. Dertil kommer potentiel skade på omdømme og kundetillid.