Kvinde holder præsentation ved møde

Cyber og data privacy – der skal to til tango

EY
EY Danmark

EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.

30 maj 2023

Arbejdet med informationssikkerhed kræver et helhedsorienteret mindset med kompetencer inden for både cyber og data privacy.

Opsummering: 

  • I takt med den massive teknologiske udvikling og den stigende regulering inden for data privacy og informationssikkerhed øges behovet for tværfaglig rådgivning.
  • Snitfladerne mellem bl.a. GDPR, AI-forordningen og NIS2/DORA forudsætter helhedsorienterede tiltag, generelt optimeret governance og et bredere fagligt perspektiv.

Specialister indenfor informationssikkerhed og data privacy skal i stigende grad samarbejde på tværs af de traditionelle fagområder for at sikre den nødvendige helhedsorienterede rådgivning til kunderne. Det er i hvert fald budskabet fra Lone Flohr og Bodil Hald Brabæk, som i deres tværfaglige samarbejde i den grad oplever fordelene ved at kunne afdække såvel de juridiske som cybersikkerhedsmæssige vinkler, når de hjælper kunderne.

Den teknologiske udvikling buldrer fortsat derudad, og reguleringen af data privacy og informationssikkerhed er samtidig stærkt stigende. Det stiller store krav til alle, som arbejder inden for disse områder. Juristen kan ikke blot fokusere på de databeskyttelsesretlige aspekter uden samtidig at identificere og håndtere snitfladerne til processer og teknologi for Informationssikkerhed. På samme måde udfordres specialisterne for informationssikkerhed, idet deres fagområde i stigende omfang rammes af en massiv tilgang af lovtekster, hvor det kan være svært at vurdere, hvilke krav den enkelte division i en organisation skal efterleve, specielt hvis virksomheden opererer indenfor flere forskellige sektorer.

De tværfaglige snitflader ses bl.a. tydeligt i arbejdet med GDPR, NIS2, DORA og den kommende AI-forordning.

GDPR – såvel organisatoriske som tekniske sikkerhedsforanstaltninger

Selvom mange organisationer arbejder ihærdigt med at efterleve GDPR, så er det en udfordring, at mange fortsat adskiller implementeringen af henholdsvis de organisatoriske og de tekniske sikkerhedsforanstaltninger. Ofte får juristerne og specialisterne for informationssikkerhed simpelthen ikke talt sammen – på trods af, at langt de fleste krav i forordningen forudsætter netop et sådant samarbejde.

Et godt eksempel er organisationernes arbejde med de lovpligtige risikovurderinger. Samarbejdes der ikke på tværs af fagområderne, er der stor risiko for, at man ikke får identificeret såvel de databeskyttelsesretlige som de mere tekniske trusler. Risikoen er ligeledes, at der ikke foretages en korrekt vurdering af dén iboende risiko, der er forbundet med behandlingsaktiviteten, ligesom fokusset for konsekvensvurderingen kan risikere at blive rettet fejlagtigt mod virksomhedens risiko fremfor de enkelte data subjekter.

NIS2 og DORA – krav om optimeret hændelseshåndtering, risiko- og leverandørstyring

Den vedvarende stigende cybertrussel bliver kontinuerligt mødt med nye skærpede cyber-lovgivningskrav fra myndighederne, som ikke er tilfredse med organisationernes parathed for at modstå ødelæggende cyberangreb. Organisationerne har modsat behov for at innovere en effektiv forvaltningsramme for cybersikkerhed, som simplificerer kompleksiteten og maksimerer effektiviteten, men samtidig adresserer morgendagens cybertrussel.

Med alle de nye lovgivningskrav, som kommer via NIS2, DORA og AI-forordningen, er det essentielt for den enkelte virksomhed, at de lykkes med at implementere en risikobaseret holistisk tilgang i forhold til at adressere alle lovgivningskrav og samtidig samtænke en hensigtsmæssig tværgående metodisk tilgang. Det bærende element i denne tilgang er en solid kortlægning af organisationens kritiske IT-aktiver - for hvis organisationen ikke har overblikket over, hvad der er vigtigst for at holde deres kerneforretning kørende, så kan man heller ikke prioritere effektivt.

Der er således en stor gevinst at hente for den enkelte virksomhed ved at sikre samhørighed i forhold til risikovurderinger, løbende kontrol og vedligeholdelse af sikkerhedsforanstaltninger samt leverandør- og beredskabsstyring ved en samtænkning at de forskellige compliancekrav.

Som udgangspunkt lyder det enkelt, men kompleksiteten stiger hurtigt til et ugennemskueligt rammeværk, såfremt der ikke er et solidt og tæt samarbejde på tværs af de forskellige faggrupper.

Relateret artikel

De 5 vigtigste ting SMV’erne skal vide for at blive klar til NIS2

Mere end en tredjedel af de virksomheder, der rammes af NIS2-direktivet, når det er fuldt indfaset i oktober 2024, ligger i SMV-segmentet.

EY Danmark

    AI-forordningen – krav til den samlede lifecycle

    Vedtages AI-forordningen i sin nuværende form skal mange organisationer ruste sig til at kunne efterleve en lang række krav til den samlede AI-lifecycle – fra design og indsamling, udvikling og træning, anvendelse og forankring og til den løbende monitorering. Det gælder både producenten, udbyderen, brugeren og importøren/distributøren.
     

    Da data – herunder ofte også personoplysninger - er en væsentlig bestanddel af AI-systemer, vil reglerne om databeskyttelse typisk skulle efterleves sideløbende med AI-forordningen, herunder ikke mindst princippet om Privacy by Design og derved sikring af bl.a. lovlighed, gennemsigtighed og behandlingssikkerhed.
     

    Det er således vanskeligt at forestille sig, at rådgivning om AI-systemer kan ske uden involvering af både dataanalytikere, teknikere og specialister inden for cybersikkerhed og databeskyttelsesret.
     

    EY’s tværfaglige recilience team

    ”Vores tværfaglige samarbejde – ikke mindst mellem Data Privacy teamet i Law og Technology Consulting – er kernen i den rådgivning, vi yder. Ikke nok med, at jeg er overbevist om, at vi sammen tilbyder kunderne en langt mere holistisk og kommerciel rådgivning, så er det samtidig netop én af grundene til, at jeg med den juridiske vinkel virkelig befinder mig så godt i EY. Jeg føler simpelthen, at vi bliver dygtigere og mere alsidige rådgivere af at arbejde sammen med kollegaer inden for andre service lines. Sådan er vi det stærkeste team,” Bodil Hald Brabæk, Head of Data Privacy i Law, EY.
     

    ”Jeg er overbevist om, at morgendagens cyber udfordringer skal løses på tværs af specialister fra forskellige faggrupper. Derfor fyldes jeg med begejstring og positiv energi, hver dag jeg går på arbejde og bygger nye bæredygtige løsninger for informationssikkerhed med mine EY-kollegaer fra vores cyber team, ServiceNow, AI & Analytic og Data Privacy. Samtidig giver det utrolig stor værdi for vores kunder, at vi kan trække på lignende løsninger fra specifikke sektorer fra et stort globalt netværk,” Lone Flohr, Associate Partner Cyber i Technology Consulting, EY.
     

    Hos EY finder du rådgivere inden for databeskyttelsesret og cybersikkerhed, og vi kan bistå med den fulde pallette inden for GDPR og informationssikkerhed.
     

    Hvis I ønsker en uforpligtende drøftelse, kan I med fordel række ud til os.
     

    Kontakt:
     

    Bodil Hald Brabæk, Executive Director, Head of Data Privacy, Law, tlf. 2529 3268
    Lone Flohr, Associate Partner, Technology Consulting, tlf. 4128 4182

    Sammendrag

    Den øgede fokus på værdien af data og den vedvarende stigende trussel for bl.a. cyberangreb gør, at myndighederne kontinuerligt fremlægger nye skærpede lovgivningskrav, der skal øge organisationernes parathed og generelle modenhed. For at kunne efterleve disse mange krav har organisationerne brug for specialister inden for både jura og cyber, og specialisterne skal kunne ”tale samme sprog” og sikre det tværfaglige samarbejde.

    Om denne artikel

    EY
    EY Danmark
    EY er en af verdens førende organisationer inden for revision, skat, transaktioner og rådgivning.
    Relaterede emner
    Law
    Consulting
    Cybersecurity

    EY refererer til den globale organisation og kan henvise til en eller flere af medlemsfirmaerne i Ernst & Young Global Limited, som hver især er en separat juridisk enhed. Ernst & Young Global Limited, som er et engelsk ‘company limited by guarantee’, yder ikke kunderådgivning.