Kortlæg jeres digitale sårbarheder - lav en risikovurdering
Vi anbefaler, at man som det første laver en risikovurdering. Risici kan være forskellige i hver virksomhed, og derfor er det vigtigt at få kortlagt netop din virksomheds sårbarheder.
Det første skridt er at forstå, hvor I er sårbare. Hvilke leverandører er kritiske for jeres drift? Hvor lagres jeres data – og hvilke data er mest forretningskritiske? Mange virksomheder har i dag et komplekst digitalt setup, hvor både software, cloud og hardware leveres af aktører uden for EU. Det er ikke nødvendigvis et problem – men det er en risiko, man skal kende.
Mange virksomheder laver løbende risikovurderinger og har et afklaret forhold til deres risikoappetit, men det er langt fra alle, der har formaliseret det i en risikovurdering. Det vigtigste er, at I har overvejet, hvor jeres virksomhed er sårbar: Hvad vil virkelig give jer problemer i forretningen i relation til jeres IT-systemer? Ved at kortlægge jeres sårbarheder - både teknologisk og geopolitisk – får I et bedre grundlag for at træffe informerede beslutninger.
Det er en god idé at udarbejde én eller flere risikovurderinger, hvor I tænker cybersikkerhed, databeskyttelse og leverandørafhængighed ind i virksomhedens strategi. Det kan være en simpel oversigt over, hvilke systemer der er afhængige af hvilke leverandører, og hvor data fysisk befinder sig. Når I har overblikket foran jer, er det nemmere at forholde sig til, om de kortlagte risici er inden for rammen af jeres risikovillighed, eller om det er på tide at justere i valg af leverandører eller løsninger.
Risici ændrer sig hele tiden. Derfor skal jeres risikovurdering også genbesøges og opdateres løbende.
1. Identificer din virksomheds nøgleprocesser
Når det handler om digital suverænitet og risici ved afhængighed af udenlandsk teknologi, er det særligt relevant at fokusere på de forretningskritiske systemer.
I enhver virksomhed er der er række processer som er kritiske for at virksomheden løber rundt. Det kan være forskelligt fra virksomhed til virksomhed, med ofte er det de processer som binder forskellige led i virksomheden sammen. Det kan være kontakten til leverandører, kunder, data, betalingssystemer eller andet.
Mange af nøgleprocesserne har I allerede beskrevet i de behandlingsaktiviteter, som I har dokumenteret for at overholde GDPR. I kan derfor identificere mange af nøgleprocesserne ud fra dem.
Ofte vil nøgleprocesserne være behandlingsaktiviteter, hvor I enten behandler mange kundeoplysninger eller meget følsomme eller fortrolige oplysninger.
Husk dog, at risikoen er forskellig afhængig af, om du risikovurderer på cybersikkerhed eller databeskytelse. Hvor fokus inden for cybersikkerhed er at beskytte virksomhedens aktiver i form af informationer, er det i GDPR fokus på den fysiske person, hvis oplysninger I behandler. Nogle nøgleprocesser, som er kritiske for, at virksomheden løber rundt, behandler meget få personoplysninger. I skal derfor kun bruge de 'GDPR-kritiske' behandlingsaktiviteter som udgangspunkt for at tilpasse jeres egen vurdering.
2. Identificer de aktiver som nøgleprocesserne er afhængige af
Nøgleprocesserne er hver især afhængige af et aktiv for at køre rundt. Det kan være softwaresystemer, servere, computere, nøglepersoner eller tjenester fra leverandører. Det er vigtigt at vide hvilke afhængigheder man har, for det er særligt disse der udgør sårbarheder i virksomheden.
3. Overvej de konkrete risici for nøgleprocesserne
For hver nøgleproces kan der være flere forskellige konkrete risici. Det er helt konkrete situationer som kan opstå og kan udgøre en risiko.
De fleste af de konkrete risici I identificerer for nøgleprocesserne er relevante i både databeskyttelse og cybersikkerhed. Det gælder særligt risici i forhold til adgang til virksomhedernes data, som f.eks. hacking eller at en leverandør ikke længere kan levere.
Vil man kende typiske trusler, der kan udgøre en risiko, kan man finde inspiration i det trusselskatalog, der hvert år udarbejdes af ENISA. Eller Datatilsynets katalog over sikkerhedsforanstaltninger.
4. Vurdér risikoen
De pågældende risici skal herefter vurderes efter konsekvens og sandsynlighed. Her er det ledelsens ansvar at vurdere hvilket risiko-niveau der kan accepteres. Måske kan en højere konsekvens accepteres, hvis sandsynligheden er lav?
Når du vurderer konsekvensen, er det vigtigt at huske, at fokus for cybersikkerhed er virksomhedens informationsaktiver og i GDPR den fysiske person, hvis oplysninger I behandler. I bør derfor lave separate konsekvensvurderinger. Omvendt vil sandsynligheden for, at en identificeret risiko indtræffer ofte være ens.
5. Lav tiltag til at reducere risikoen
Forskellige risici kræver forskellige tiltag, hvoraf nogen kan være nemme og nærmest omkostningsfrie at implementere, imens andre kan virke omkostningstunge, for næsten ingen gevinst. Her er det igen op til virksomhedens ledelse at vurdere hvad der giver mening for jeres virksomhed. Her stilles størrelsen af risikoen overfor omkostninger og gevinsten ved forskellige tiltag.
Mange af de tiltag I laver, vil både afhjælpe risikoen i cybersikkerhed og GDPR. FInd inspiration i Datatilsynets katalog over foranstaltninger
6. Gennemgå jævnligt jeres risikovurdering
Vend tilbage til jeres risikovurdering jævnligt. Kritiske risici kan kræve en hyppig status på udviklingen f.eks. månedligt eller kvartalsvist, hvorimod en lav risiko måske kan nøjes med en årlig vurdering. Igen er det op til ledelsen at vurdere for hver enkelt risiko – det vigtige er at risikovurderingen er opdateret.
Arbejder du inden for kritisk infrastruktur, stiller en nyt EU-regulering på cyberområdet - også kaldet NIS2-krav om, at virksomheder har en risikovurdering, som ledelsen løbende involveres i. Læs mere på DI's NIS2-guide.
Brug for mere hjælp?
Her kan du finde mere vejledning til at foretage en risikovurdering af din virksomhed.