Når reglerne er uklare – men kravene stadig gælder

Hvordan navigerer man usikkerhed, når ny regulering som NIS2 og DORA stadig er uklare? Hos itm8 har man valgt en principbaseret governance-model, der kombinerer agilitet med compliance. I stedet for at vente på detaljerede vejledninger, udvikler teamet løbende egne fortolkninger baseret på bedste praksis, juridisk rådgivning og input fra kunder og branchefællesskaber.

Interview med itm8’s: Claus F. Sørensen, General Counsel og Head of Commercial Legal og Martin Kofoed, Chief Cyber Security Officer og Partner  

Itm8 går strategisk til værks med compliance og rådgivning, når udmøntningen af lovgivningens rammer er af usikker karakter 

“Vi bygger efter princippet: bygget til at overholde krav – og til at kunne tilpasses i takt med ændringer,” siger Claus F. Sørensen, General Council og Head of Commercial Legal. 

Fotokreditering: Kasper Løjtved

Usikkerhed i beslutninger er et vilkår, når man ikke ved, om en investering i sikkerhedsløsninger vil opfylde fremtidige krav, eller om governance-strukturen rammer myndighedernes forventninger. Løsningen hos itm8 er at arbejde med “compliance ” frem for færdig implementering. Hver funktion, fra adgangsstyring til hændelsesrapportering, er designet som et modul, der kan skaleres, justeres og dokumenteres løbende, efterhånden som fortolkningerne bliver klare. 

Hvordan tilpasser man sig strategisk til ukonkret regulering?
For itm8 handler det om fleksibel arkitektur, tidlig ledelsesforankring og kontinuerlig læring. Systemer og processer bygges med indbyggede justeringspunkter, så ændrede krav kan implementeres uden større genudvikling. Ledelsen inddrages fra projektets start for at sikre beslutningskraft og ressourcetildeling, og specialister deltager i netværk og efteruddannelser for hele tiden at kunne omsætte ny viden i praksis. Ifølge Martin Kofoed, Chief Cyber Security Officer og Partner, er det især SMV’er, der har brug for denne form for rådgivning. 

“Vi ser det som en del af vores opgave at stille metode og erfaring til rådighed for kunder, der ikke selv har kapacitet til at gennemføre omfattende risikovurderinger,” siger Martin Kofoed.

Fotokreditering: Kasper Løjtved

Hvilke ændringer ønsker itm8 fra myndighederne?
Først og fremmest savner man mere operationelle vejledninger med konkrete eksempler og skabeloner, der kan omsætte lovtekster til praksis. Dernæst efterlyser man et tættere samarbejde mellem Digitaliseringsstyrelsen, Datatilsynet og Erhvervsstyrelsen, så fortolkninger og tempo koordineres. Endelig peger man på behovet for en rådgivningsfunktion rettet mod SMV’er og offentlige samarbejdspartnere, som kan give kapacitetsstærk support til at afkode kompleks regulering. 

Ud fra dette sigter itm8 mod hurtigt at tilpasse løsningerne, når nye krav løbende sættes. Man nøjes ikke med at gå til opgaven internt – man engagerer også myndigheder og ekspertnetværk. Ved at deltage i branchefora, afholde workshops med offentlige instanser og invitere til dialogmøder sikrer man, at egne fortolkninger bliver valideret løbende, og at eventuelle gråzoner kortlægges i fællesskab. Tilgangen mindsker risikoen for efterfølgende overraskelser ved tilsyn og gør det lettere at justere compliance-programmet, før kravene skærpes. 

Hos itm8 ser man derfor løbende på, hvordan de nuværende metoder kan styrkes – fx ved at automatisere udvide risikovurderingsværktøjerne og skærpe integrationen mellem juridisk rådgivning og tekniske sikkerhedsløsninger.