Hvis du ønsker en gennemgang af hele eller dele af platformen, eller har spørgsmål
Boost dit compliance arbejde med AI Features fra .legal
Book 1:1 demomøde
AI Features
Alle de begreber du skal kende inden for compliance, databeskyttelse og informationssikkerhed.
Adgangskontrol er den samlede betegnelse for de mekanismer, der sikrer, at kun de rette brugere kan tilgå de rette systemer og data på det rette tidspunkt.
Foranstaltninger der sikrer, at kun de rette personer har adgang til de rette informationer og systemer, i det rette omfang og på det rette tidspunkt, som krævet i ISO 27001.
CIS Control 1 handler om aktivt at kortlægge og kontrollere alle hardware-aktiver i organisationen. Aktivoversigten er fundamentet for al efterfølgende sikkerhed.
Aktivstyring handler om at kortlægge, klassificere og beskytte alle de informationsaktiver, din organisation er afhængig af, som en del af ISO 27001.
De 93 informationssikkerhedskontroller i ISO 27001:2022, der dækker organisatoriske, personrelaterede, fysiske og teknologiske områder.
Et obligatorisk ISO 27001-dokument, der viser præcist hvilke af standardens Annex A-kontroller din organisation har valgt at implementere, med begrundelser.
Sikkerhedskopiering af data og systemer, der muliggør gendannelse efter datatab, ransomware-angreb eller systemnedbrud.
Det juridiske grundlag, din virksomhed skal have for at behandle personoplysninger lovligt efter GDPR artikel 6.
En dokumenteret plan for, hvordan organisationen opdager, håndterer og genopretter sig efter cyberangreb eller alvorlige it-hændelser, som krævet under NIS2.
EU's direktiv om kritiske enheders modstandsdygtighed (direktiv 2022/2557). Stiller krav til fysisk og organisatorisk robusthed hos udbydere af kritiske tjenesteydelser.
De 11 samfundsvigtige sektorer defineret i CER-direktivet, inden for hvilke nationale myndigheder udpeger kritiske enheder underlagt krav om resiliens.
Et sæt af 18 prioriterede sikkerhedskontroller fra Center for Internet Security, der giver en praktisk ramme for at forsvare sig mod de mest almindelige cybertrusler.
Computer Security Incident Response Team — den nationale enhed, der modtager, analyserer og koordinerer håndteringen af cybersikkerhedshændelser under NIS2.
En databehandler er en ekstern part, der behandler personoplysninger på vegne af den dataansvarlige, som defineret i GDPR artikel 4, stk. 8.
En skriftlig aftale mellem en dataansvarlig og en databehandler, der regulerer behandlingen af personoplysninger, som krævet af GDPR artikel 28.
CIS Control 3 dækker processer og tekniske kontroller til at identificere, klassificere, sikkert håndtere, opbevare og slette organisationens data.
Den dataansvarlige er den organisation, der bestemmer formålet med og midlerne til behandling af personoplysninger, som defineret i GDPR artikel 4, stk. 7.
En sektor under NIS2, der dækker organisationer, som leverer grundlæggende digitale tjenester som DNS, TLD-registre, cloud computing, datacentre og CDN.
En finansiel enheds evne til at opbygge, sikre og opretholde sin driftsmæssige integritet ved at anvende IKT-kapaciteter til at forebygge, modstå og komme sig over IKT-forstyrrelser.
EU's forordning om digital operationel robusthed for den finansielle sektor (forordning 2022/2554), der stiller krav til IKT-risikostyring, hændelsesrapportering og robusthedstestning.
En person der rådgiver virksomheden om databeskyttelse og fungerer som kontaktpunkt til tilsynsmyndigheden, som krævet i henhold til GDPR.
Den brede kategori af organisationer underlagt DORA, herunder banker, forsikringsselskaber, betalingsinstitutter, investeringsselskaber og kryptoaktivudbydere.
EU's generelle forordning om databeskyttelse (forordning 2016/679), der regulerer behandling af personoplysninger og fastlægger rettigheder for registrerede.
En struktureret proces til at opdage, rapportere, vurdere og håndtere informationssikkerhedshændelser for at minimere skade og forhindre gentagelse.
NIS2's krav om at rapportere betydelige cybersikkerhedshændelser til nationale myndigheder inden 24 timer (tidlig advarsel) og 72 timer (fuld anmeldelse).
Den organiserede tilgang til at opdage, inddæmme, eliminere og genoprette efter en cybersikkerhedshændelse med henblik på at minimere skade og genoprette normal drift.
DORA's krav om at finansielle enheder klassificerer og rapporterer større IKT-relaterede hændelser til finansielle tilsynsmyndigheder via standardiserede formater og fastsatte tidsfrister.
En forretningskontinuitetsplan specifikt for IKT-systemer, som DORA kræver, at finansielle enheder udarbejder og regelmæssigt tester for at sikre driftskontinuitet.
DORA's kernekrav om at finansielle enheder etablerer et robust system for identifikation, vurdering og håndtering af informations- og kommunikationsteknologirisici.
Risici finansielle enheder påtager sig ved at anvende IKT-tjenesteudbydere. DORA stiller krav om kontraktuelle garantier, løbende overvågning og exitstrategier.
Tre niveauer (IG1, IG2, IG3) i CIS Controls der differentierer implementeringskravene baseret på organisationens størrelse, ressourcer og risikoniveau.
DORA's ramme for frivillig deling af cybertrussel-information og efterretninger i betroede fællesskaber for at styrke den kollektive robusthed i finanssektoren.
Et overordnet dokument, der fastlægger ledelsens vision og forpligtelse til informationssikkerhed. Obligatorisk krav i ISO 27001 (klausul 5.2).
En systematisk og uafhængig gennemgang af organisationens ISMS for at vurdere overensstemmelse med ISO 27001-kravene og implementeringens effektivitet.
Et informationssikkerhedsstyringssystem (ISMS) er en systematisk ramme af politikker, processer og kontroller til styring af informationssikkerhed. Kernen i ISO 27001.
En formel tredjeparts-verificering af, at en organisations ISMS opfylder kravene i ISO/IEC 27001-standarden for informationssikkerhedsstyring.
CIS Control 5 dækker processerne for at oprette, administrere, gennemgå og deaktivere bruger- og administratorkonti for at minimere risikoen for uautoriseret adgang.
Rammen for at planlægge og forberede en organisation på at opretholde kritiske forretningsprocesser og sikre hurtig genopretning efter forstyrrende hændelser, herunder informationssikkerhedens kontinuitet under ISO 27001.
En systematisk vurdering af, hvordan en planlagt databehandling påvirker de registreredes rettigheder og friheder, påkrævet under GDPR artikel 35 når behandlingen medfører høj risiko.
En organisation udpeget af de nationale myndigheder som kritisk under CER-direktivet, fordi den leverer en væsentlig tjeneste, hvis forstyrrelse ville have alvorlige konsekvenser for samfundet.
En IKT-leverandør udpeget som kritisk af EU's finansielle tilsynsmyndigheder under DORA, underlagt direkte EU-tilsyn og skærpede krav.
En teknik der omdanner data til en form, der kun kan læses af autoriserede parter med den rette nøgle. Kryptering beskytter data mod uautoriseret adgang både under opbevaring og transmission.
NIS2's krav om at ledelsen godkender cybersikkerhedsforanstaltninger og kan holdes personligt ansvarlige for manglende overholdelse.
En periodisk gennemgang af ISMS'et af den øverste ledelse, der evaluerer performance og sikrer løbende egnethed, tilstrækkelighed og effektivitet.
NIS2's krav om at vurdere og styre cybersikkerhedsrisici i leverandørkæden, herunder it-leverandører og underleverandører.
Styring af informationssikkerhedsrisici forbundet med brug af eksterne leverandører, herunder krav til leverandøraftaler og løbende overvågning.
Den automatiserede registrering af begivenheder i IT-systemer, der bruges til at opdage sikkerhedshændelser, efterforske brud og dokumentere adgang.
CIS Control 8 dækker indsamling, beskyttelse og analyse af revisionslogs fra systemer og applikationer for at opdage og efterforske sikkerhedshændelser.
CIS Control 9 dækker tekniske og organisatoriske kontroller til at beskytte mod trusler via e-mail og webbrowsere, herunder phishing og malware.
En autentificeringsmetode, der kræver to eller flere verificeringsfaktorer for at give adgang, og som markant reducerer risikoen for uautoriseret adgang ved kompromitterede adgangskoder.
En sikkerhedsforanstaltning der opdeler et netværk i isolerede segmenter eller zoner for at begrænse adgang og minimere spredningen af et angreb.
EU's direktiv om net- og informationssikkerhed (direktiv 2022/2555), der stiller krav til cybersikkerhedsrisikostyring, hændelsesrapportering og leverandørkædesikkerhed.
CER-direktivets krav om at kritiske enheder underretter de kompetente myndigheder om hændelser, der i væsentlig grad forstyrrer leveringen af væsentlige tjenester.
En autoriseret og kontrolleret simulering af et cyberangreb mod en organisations systemer for at identificere udnyttelige sårbarheder, inden en reel angriber finder dem.
Alle oplysninger, der kan identificere en fysisk person direkte eller indirekte, som defineret i GDPR artikel 4, stk. 1.
En databeskyttelsesteknik, der erstatter direkte identifikatorer med kunstige pseudonymer, så data ikke kan knyttes til en person uden supplerende oplysninger.
En kritisk enheds eller organisations evne til at forebygge, absorbere, tilpasse sig og komme sig over hændelser, der kan forstyrre leveringen af væsentlige tjenester.
NIS2's krav om at implementere passende tekniske og organisatoriske foranstaltninger baseret på en løbende vurdering af cybersikkerhedsrisici.
Den obligatoriske analyse som kritiske enheder under CER skal udføre for at identificere relevante risici, der kan påvirke leveringen af deres væsentlige tjenester.
En systematisk proces til at identificere, analysere og evaluere informationssikkerhedsrisici som grundlag for valg af passende kontroller i et ISMS.
Den systematiske proces under DORA, hvor finansielle enheder tester IKT-systemers modstandsdygtighed, herunder sårbarhedsvurderinger, scenariebaserede tests og TLPT.
En frivillig, specifik, informeret og utvetydig tilkendegivelse af, at en person accepterer behandling af sine personoplysninger under GDPR.
De administrative sanktioner, som NIS2 giver mulighed for ved overtrædelse, herunder bøder op til 10 millioner euro eller 2% af den globale omsætning for væsentlige enheder.
CIS Control 4 kræver, at organisationer etablerer og vedligeholder sikre konfigurationer for al hardware og software for at minimere angrebsfladen.
Uddannelse og oplæring af medarbejdere i at genkende og reagere på informationssikkerhedstrusler som phishing, social engineering og fejlhåndtering af data.
De tekniske og organisatoriske foranstaltninger, som NIS2 artikel 21 stiller krav om, herunder kryptering, adgangskontrol og netværkssikkerhed.
CIS Control 2 kræver, at organisationer vedligeholder en komplet oversigt over godkendt software og aktivt forhindrer installation og kørsel af uautoriseret software.
CIS Control 7 kræver en kontinuerlig og struktureret proces til at opdage, vurdere og afhjælpe sårbarheder i organisationens systemer og software.
De sikkerhedstiltag en organisation implementerer for at beskytte personoplysninger i henhold til GDPR artikel 32, herunder både teknologibaserede og procesmæssige tiltag.
NIS2's todelte tilsynsregime, hvor væsentlige enheder er underlagt proaktivt tilsyn og vigtige enheder reaktivt tilsyn fra nationale myndigheder.
Avanceret penetrationstest baseret på trusselsefterligning, som visse finansielle enheder er forpligtet til at gennemføre under DORA mindst hvert tredje år.
En organisation i en kritisk NIS2-sektor, der er underlagt de strengeste krav til cybersikkerhed og proaktivt myndighedstilsyn.
En tjeneste der er afgørende for opretholdelsen af vitale samfundsfunktioner, den økonomiske aktivitet, den offentlige sikkerhed eller befolkningens sundhed under CER-direktivet.
En organisation i en NIS2 bilag II-sektor, der er underlagt cybersikkerhedskrav med reaktivt tilsyn fra myndighederne.
En sikkerhedsmodel der antager, at ingen bruger, enhed eller netværkssegment er pålideligt i udgangspunktet, og kræver løbende verificering af alle adgangsanmodninger.
EU's omfattende regulering af kunstig intelligens, der klassificerer AI-systemer efter risikoniveau og stiller krav fra udvikling til brug.
Kravet i AI-forordningen om, at alle der arbejder med AI-systemer skal have tilstrækkelige kompetencer. Gælder fra august 2025.
Et maskinbaseret system designet til at operere med varierende grader af autonomi, der genererer output som forudsigelser, anbefalinger eller beslutninger.
AI-systemer og anvendelser der er helt forbudt under EU's AI-forordning på grund af uacceptabel risiko for grundlæggende rettigheder.
En AI-model trænet på store datamængder, der kan udføre mange forskellige opgaver, som GPT-4, Llama og Gemini. Underlagt specifikke krav fra august 2025.
Et AI-system der bruges i kritiske områder og skal opfylde strenge krav til sikkerhed, transparens og menneskelig kontrol under AI-forordningen.
Kravet om at højrisiko-AI-systemer skal designes, så mennesker effektivt kan overvåge, forstå og om nødvendigt tilsidesatte systemets output.
Den formelle proces, hvor en udbyder dokumenterer, at et højrisiko-AI-system opfylder alle krav i AI-forordningen, før det kan markedsføres.
AI-forordningens risikobaserede klassifikationssystem, der opdeler AI-systemer i fire niveauer: uacceptabel (forbudt), høj, begrænset og minimal risiko.
Den der udvikler eller markedsfører et AI-system under eget navn, med det primære ansvar for overholdelse af AI-forordningen.
CE-mærkning i en cybersikkerhedskontekst dokumenterer, at et produkt med digitale elementer lever op til de væsentlige sikkerhedskrav i Cyber Resilience Act.
EU-forordning der stiller horisontale cybersikkerhedskrav til alle produkter med digitale elementer, der sælges på det europæiske marked.
De krav Cyber Resilience Act stiller til fabrikanter af produkter med digitale elementer, herunder sikkerhed by design, sårbarhedshåndtering, CE-mærkning og teknisk dokumentation.
Ethvert software- eller hardwareprodukt, der har en direkte eller indirekte dataforbindelse til en enhed eller et netværk. Begrebet er centralt i Cyber Resilience Act.
De krav Cyber Resilience Act stiller til fabrikanter om at identificere, dokumentere, rapportere og rette sikkerhedssårbarheder i produkter med digitale elementer i hele produktets supportperiode.
Et princip hvor cybersikkerhed integreres i et produkt fra designfasen frem for at blive tilføjet efterfølgende. Sikkerhed by design er et bindende krav i Cyber Resilience Act.
En formaliseret, maskinlæsbar liste over alle softwarekomponenter, biblioteker og afhængigheder i et produkt. SBOM er et krav under Cyber Resilience Act.
B2B-datadeling er deling af data mellem virksomheder under Data Act, hvor data fra tilsluttede produkter skal gøres tilgængelige på fair og gennemsigtige vilkår.
Cloud-skift er retten til at skifte cloud-udbyder under Data Act uden urimelige barrierer, gebyrer eller datatab.
Data Act (forordning 2023/2854) er EU's regulering af adgang til og brug af data fra tilsluttede produkter og relaterede tjenester.
En dataindehaver er den virksomhed eller person, der kontrollerer adgangen til data fra et tilsluttet produkt og har pligt til at stille data til rådighed under Data Act.
Dataportabilitet under Data Act giver brugere og virksomheder ret til at flytte data fra tilsluttede produkter og cloud-tjenester til alternative udbydere.
Interoperabilitet under Data Act kræver, at data og tjenester kan fungere på tværs af systemer og udbydere for at muliggøre reel dataportabilitet.
Et tilsluttet produkt er en fysisk genstand, der indsamler data og kommunikerer dem via en netværksforbindelse, reguleret af EU's Data Act.
Algorithmetransparens er kravet om, at digitale platforme skal oplyse brugere om, hvordan deres anbefalingssystemer og automatiserede beslutninger fungerer.
En betroet indberetter er en organisation med særlig status under Digital Services Act, der har forrang ved indberetning af ulovligt indhold til onlineplatforme.
Digital Services Act er EU-forordningen, der regulerer digitale formidlingstjenester med krav til indholdsmoderation, gennemsigtighed og brugerrettigheder.
En formidlingstjeneste er en digital tjeneste, der fungerer som mellemmand ved at transmittere, cache eller hoste information fra brugere under DSA.
Indholdsmoderasjon er platformes processer for at identificere, vurdere og handle på brugergenereret indhold under DSA.
Koordinatoren for digitale tjenester er den nationale myndighed, som hvert EU-land skal udpege til at føre tilsyn med Digital Services Act.
En meget stor online platform (VLOP) er en onlineplatform med over 45 millioner aktive brugere i EU, underlagt skærpede DSA-forpligtelser.
Ulovligt indhold under DSA er enhver information, der strider mod EU-lovgivning eller en medlemsstats nationale lovgivning.
Anonymisering er processen, hvor persondata behandles, så det bliver permanent umuligt at identificere den registrerede.
Behandlingssikkerhed dækker de tekniske og organisatoriske foranstaltninger, der beskytter persondata mod uautoriseret adgang, tab og ødelæggelse.
Databeskyttelsesloven er den danske lov, der supplerer GDPR med nationale regler om bl.a. CPR-numre, samtykkealdergrænser og strafferetlige oplysninger.
Et databrud er et sikkerhedsbrud, der fører til uautoriseret adgang til, tab af eller ændring af persondata.
Dataminimering er et GDPR-princip, der kræver, at du kun indsamler persondata, der er tilstrækkelige, relevante og begrænset til det nødvendige.
Dataportabilitet er den registreredes ret til at modtage sine persondata i et struktureret, maskinlæsbart format og overføre dem til en anden dataansvarlig.
Datatilsynet er Danmarks uafhængige tilsynsmyndighed for databeskyttelse, der fører tilsyn med overholdelse af GDPR og databeskyttelsesloven.
Den registrerede er den fysiske person, hvis persondata behandles af en organisation.
Følsomme personoplysninger er særlige kategorier af persondata, der kræver ekstra beskyttelse under GDPR.
Formålsbegrænsning er et GDPR-princip, der kræver, at persondata kun indsamles til udtrykkeligt angivne og legitime formål.
En fortegnelse over behandlingsaktiviteter dokumenterer alle de måder, din organisation behandler persondata på, som krævet i GDPR artikel 30.
Indsigtsretten giver den registrerede ret til at se, hvilke persondata en organisation behandler om vedkommende.
Legitim interesse er et GDPR-behandlingsgrundlag, der tillader behandling uden samtykke, når organisationens interesse vejer tungere end den registreredes.
Oplysningspligten kræver, at du som dataansvarlig informerer registrerede om, hvordan du behandler deres persondata.
Overførsel til tredjelande er, når persondata sendes fra EU/EØS til et land uden for dette område og kræver et gyldigt overførselsgrundlag.
Privacy by design kræver, at databeskyttelse bygges ind i systemer og processer fra starten, jf. GDPR artikel 25.
En privatlivspolitik informerer de registrerede om, hvordan din organisation indsamler, behandler og beskytter deres persondata.
Profilering er automatiseret behandling af persondata, der bruges til at vurdere personlige aspekter som praeferencer, adfaerd eller palidelighed.
Ret til sletning giver registrerede ret til at fa sine persondata slettet under visse betingelser.
Standardkontraktbestemmelser (SCC) er EU-godkendte kontraktklausuler til overfoersel af persondata til tredjelande.
En underdatabehandler er en underleverandoer, som din databehandler engagerer til at udfoere dele af databehandlingen pa dine vegne.
Applikationssikkerhed dækker de processer og værktøjer, der beskytter software mod sårbarheder og angreb fra design til drift.
Dataklassifikation er processen med at kategorisere data efter følsomhed, værdi og kritikalitet for at sikre passende beskyttelsesniveau.
Datamaskering erstatter følsomme data med fiktive men realistiske værdier, så de kan bruges sikkert til test, udvikling og analyse.
Datasletning er processen med permanent at fjerne data, så de ikke kan genskabes, i overensstemmelse med opbevaringspolitikker.
DLP (Data Loss Prevention) forhindrer følsomme data i at forlade organisationen uautoriseret gennem overvågning, detektion og blokering.
DNS-sikkerhed beskytter Domain Name System mod manipulation, forgiftning og misbrug via teknologier som DNSSEC og DNS-filtrering.
Endpoint-sikkerhed beskytter slutbrugerenheder som computere, mobiler og tablets mod malware, ransomware og uautoriseret adgang.
En firewall er et netværkssikkerhedssystem, der overvåger og filtrerer ind- og udgående netværkstrafik baseret på definerede sikkerhedsregler.
Fysisk sikkerhed beskytter organisationens lokaler, IT-udstyr og personale mod uautoriseret adgang, tyveri og miljømæssige trusler.
Identitetsstyring (IAM) styrer digitale identiteter og kontrollerer adgang til systemer og data, så de rigtige personer har den rigtige adgang.
Konfigurationsstyring er processen med at etablere, dokumentere og vedligeholde sikre standardindstillinger for systemer, servere og netværksenheder..
Malwarebeskyttelse dækker de teknologier og processer, der forsvarer systemer mod ondsindet software. Det omfatter forebyggelse, detektion og respons.
Mobilenhedsstyring (Mobile Device Management, MDM) giver organisationer central kontrol over smartphones, tablets og bærbare enheder. MDM sikrer, at.
SIEM (Security Information and Event Management) samler og analyserer sikkerhedsdata fra hele IT-miljøet i realtid. Det giver organisationer et.
Patchstyring er processen med at identificere, teste og installere softwareopdateringer for at lukke sikkerhedssårbarheder. Manglende patches er en.
Privilegeret adgangsstyring (Privileged Access Management, PAM) kontrollerer og overvåger konti med forhøjede rettigheder i IT-systemer. PAM.
Sårbarhedsscanning er automatiseret identifikation af kendte sikkerhedssårbarheder i systemer, netværk og applikationer. Det giver organisationer et.
Sikker udvikling handler om at integrere sikkerhed i hele softwareudviklingens livscyklus. I stedet for at teste sikkerhed til sidst bygges den ind.
Trusselsintelligens (Threat Intelligence) er indsamling, analyse og anvendelse af data om aktuelle og potentielle cybertrusler. Det giver.
Webfiltrering kontrollerer, hvilke websites og webindhold brugere kan tilgå fra organisationens netværk og enheder. Det beskytter mod.
En beredskabsplan (BCP) beskriver, hvordan din organisation opretholder kritiske forretningsfunktioner under og efter en krise.
Compliance management er den systematiske proces, hvor din organisation identificerer, implementerer og overvåger overholdelsen af love, regler og interne politikker.
En compliance-ramme er den samlede struktur af politikker, processer, kontroller og ansvarsfordelinger, der sikrer, at din organisation overholder gældende lovgivning og interne standarder.
Due diligence er en systematisk undersøgelse af en virksomhed, leverandør eller partner, som du gennemfører, før du træffer en beslutning om samarbejde, opkøb eller kontraktindgåelse.
Governance er den styringsstruktur, der definerer, hvordan din organisation træffer beslutninger, fordeler ansvar og sikrer kontrol.
Intern revision er en uafhængig og objektiv vurdering af, om din organisations processer, kontroller og compliance-indsats fungerer som tilsigtet.
Katastrofegendannelse (disaster recovery) er processen med at genoprette IT-systemer, data og infrastruktur efter en alvorlig hændelse.
Lovgivningsmaessig overholdelse er processen med at sikre, at din organisation lever op til alle gaeldende love, forordninger og myndighedskrav.
Politikker og procedurer er de interne dokumenter, der omsaetter lovkrav og standarder til konkret praksis i din organisation.
En registerfortegnelse er en dokumenteret oversigt over alle de behandlingsaktiviteter, din organisation foretager med personoplysninger.
En risikovurdering er en systematisk proces, der identificerer, analyserer og vurderer risici, sa du kan prioritere dine foranstaltninger.
Tredjepartsrisiko er den risiko, der opstar, nar din organisation er afhaengig af eksterne leverandoerer, partnere eller tjenesteudbydere.
Whistleblowing er indberetning af lovovertraedelser eller alvorlige uregelmaessigheder pa en arbejdsplads, gennem en ordning, der beskytter indberetteren mod repressalier.
Ingen begreber matcher din søgning.
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
.jpg)
