Ledelsen skal involveres i databeskyttelse og infosec. Læs hvad reglerne siger.
Ledelsen er vigtig i arbejdet med databeskyttelse og informationssikkerhed. Det ved alle, der arbejder med det i praksis.
.webp)
Jacob Høedt Larsen, PR & PA hos Wired Relations, er værten for podcasten Sustainable Compliance og en ekspert i GRC-workflows, understøttet af software, opbygning af et GRC-program, ledelse af et GRC-team og sikring af ledelsens opbakning.
Læs mere fra forfatterenMen hvad siger reglerne egentlig helt præcis? Her kigger vi på de vigtige regelsæt ISO 27001, NIS2 og GDPR, og hvad de siger om ledelsens ansvar.
{{factbox-dark}}
ISO 27001
I ISO 27001 skal du have fat i paragraf 5, som handler om ledelsens rolle.
Ledelsen har tre overordnede forpligtelser. Den skal:
- Tage ansvar for informationssikkerheden og være aktivt involveret i at skabe rammerne for ISMS’et. Herunder også allokere de nødvendige ressourcer.
- Sikre at der er en informationssikkerhedspolitik, som er kommunikeret og bliver fulgt op.
- Sikre, at der er styr på og klare retningslinjer for rollefordelingen.
NIS2
NIS2-direktivet slår helt fast, at informationssikkerhed er ledelsens ansvar.
Konkret har de - ifølge reglerne - 4 forpligtelser:
- De skal godkende virksomhedens foranstaltninger til styring af cyberrisici,
- De skal føre tilsyn med, at de bliver gennemført,
- Følge kurser om cybersikkerhed og
- Tilskynde til, at medarbejderne også tilbydes kurser.
Medlemmerne af ledelsesorganet kan faktisk gøres personligt ansvarlige, hvis de ikke lever op til reglerne.
I Danmark har Styrelsen for Samfundssikkerhed udarbejdet en vejledning om ledelsens rolle og ansvar.
Vi har gennemgået den i et webinar, hvor du får svar på:
- Hvem er det øverste ledelsesorgan – og hvorfor er det vigtigt at få identificeret?
- Hvad betyder det, at man kan uddelegere opgaver, men ikke ansvar?
- Hvordan kan man organisere arbejdet mellem bestyrelse, direktion og sikkerhedsfolk?
- Hvilke kompetencer skal være til stede – og hvad gør man, hvis de ikke er det?
{{factbox-light}}
GDPR
GDPR har ingen regler, der direkte peger på ledelsens ansvar. Der er imidlertid en lang række regler, som forpligter virksomheden eller den organisation, som skal leve op til GDPR. Ledelsen er selvsagt overordnet ansvarlig.
NIS2 artikel 20
Ledelsens forpligtelser er beskrevet i artikel 20 i NIS2-direktiver, som lyder sådan her:
1. Medlemsstaterne sikrer, at de væsentlige og vigtige enheders ledelsesorganer godkender de foranstaltninger til styring af cybersikkerhedsrisici, som disse enheder har truffet med henblik på at overholde artikel 21, fører tilsyn med dens gennemførelse og kan gøres ansvarlige for enhedernes overtrædelser af forpligtelserne i nævnte artikel.
Anvendelsen af dette stykke berører ikke national ret for så vidt angår de ansvarsregler, der gælder for offentlige institutioner, samt ansvaret for embedsmænd og personer valgt eller udnævnt til offentlige hverv.
2. Medlemsstaterne sikrer, at medlemmerne af væsentlige og vigtige enheders ledelsesorganer er forpligtet til at følge kurser, og skal tilskynde væsentlige og vigtige enheder til løbende at tilbyde tilsvarende kurser til deres ansatte, således at de opnår tilstrækkelige kundskaber og færdigheder til at kunne identificere risici og vurdere metoderne til styring af cybersikkerhedsrisici og deres indvirkning på de tjenester, der leveres af enheden.
Kurser: Klæd ledelsen på til NIS2
Vi tilbyder tre NIS2-ledelseskurser, som giver din ledelse den nødvendige viden, forståelse og konkrete redskaber til at leve op til de nye NIS2-krav - uanset hvor langt I er i processen.
