Artiklen er skrevet af René Pagh fra Fix-IT Consulting ApS og blev oprindeligt udgivet på ResilienceTech hos Ingeniøren.
De færreste vil være uenige i, at vi har brug for regulering af cybersikkerhed og beskyttelse af persondata. Vi lever i en digital verden, hvor truslerne konstant udvikler sig, og hvor virksomheder håndterer enorme mængder af data – ofte på tværs af grænser. Regler som GDPR og NIS2 er ikke bare nødvendige, men fundamentale for at skabe en mere sikker digital infrastruktur. Samtidig er det tydeligt, at compliance-landskabet er blevet ekstremt komplekst, især for virksomheder, der opererer i flere lande. Regler overlapper, modsiger hinanden eller kræver omfattende ressourcer, som i nogle tilfælde kunne være bedre brugt på reel IT-sikkerhed frem for rapportering og bureaukrati.
Spørgsmålet er derfor: Er vi endt i en situation, hvor det er umuligt at være 100% compliant – og hvor virksomheder reelt kun kan vælge, hvilke risici de vil løbe?
Den voksende compliance-jungle: Når én standard aldrig er nok
Digitaliseringens fremmarch betyder, at data flyder frit på tværs af grænser, og virksomheder skal håndtere enorme mængder information, som både skal udnyttes og beskyttes. Internationale standarder som ISO 27001, ISO 27701 og ISO 27035 samt EU-forordninger og direktiver som NIS2, GDPR, DORA og PSD2 er designet til at styrke cybersikkerheden og beskytte persondata. Dog skaber denne mangfoldighed af regler en paradoksal situation: Mens de gode intentioner bag reguleringerne er tydelige, opstår der i praksis udfordringer, hvor de enkelte krav kan skabe modstridende forpligtelser.
Dertil kommer nationale særregler, der yderligere komplicerer billedet. NIS2 er et fælles EU-direktiv, men medlemslandene har implementeret det på forskellige måder. Selvom direktivet fastsætter en fælles minimumsramme, har nogle lande valgt at inkludere flere sektorer end andre. For eksempel har visse EU-lande udvidet direktivet til at omfatte dele af uddannelsesområdet, militærindustrien og offentlig transport, mens andre har holdt sig til de mere traditionelle sektorer som energi, transport og finansielle institutioner. Denne forskelligartede implementering betyder, at virksomheder med aktiviteter i flere lande kan opleve, at deres forpligtelser varierer markant afhængigt af, hvor de opererer.
I Danmark har implementeringen af NIS2 været præget af forsinkelser. Den danske lovgivning forventes først at træde i kraft i juli 2025, selvom EU’s deadline var oktober 2024. Dette har efterladt virksomheder i en usikker position, hvor de enten måtte vente eller basere deres forberedelser på andre EU-landes fortolkninger.
Når ingen løsning er perfekt – og bagdelen altid er i klaskehøjde
Compliance og Governance inden for cybersikkerhed og databeskyttelse har udviklet sig til et omfattende netværk af standarder og direktiver, der spænder fra ISO-standarder og NIST-rammer til sektorspecifikke krav i blandt andet sundhed, finans og luftfart. For mange virksomheder er det i dag ikke et spørgsmål om at opnå 100 % compliance, men snarere om at foretage en strategisk afvejning af risici. Ressourcer, der kunne investeres i innovative IT-sikkerhedsløsninger, kanaliseres i stedet til omfattende dokumentation og administration – en omkostning, der i sidste ende kan svække den reelle beskyttelse mod cybertrusler og privatliv.
For eksempel kan en virksomhed, der implementerer systematisk medarbejderovervågning for at overholde NIS2 og ISO 27001, stå over for et dilemma mellem cybersikkerhed og medarbejdernes ret til privatliv i henhold til GDPR. Mens kontinuerlig monitorering af IT-aktiviteter kan være nødvendig for at opdage sikkerhedsbrud og forebygge insidertrusler, stiller GDPR strenge krav om proportionalitet, gennemsigtighed og et klart formål. Virksomheder skal derfor finde en balance mellem behovet for overvågning og beskyttelsen af individets rettigheder.
Virksomheder forventes at overholde komplekse reguleringer som GDPR, men ofte mangler der klare retningslinjer. I stedet overlades det til den enkelte organisation at tolke reglerne – med risiko for både juridiske gråzoner og uforudsete konsekvenser.
Et godt eksempel er Chromebook-sagen, hvor danske kommuner i årevis har kæmpet med at efterleve GDPR-kravene for skolebørns data. Sagen har udviklet sig til et juridisk tovtrækkeri mellem Datatilsynet, kommunerne og leverandørerne, hvor ingen har kunnet give entydige svar på, hvad der faktisk skal til for at overholde lovgivningen. Når selv offentlige myndigheder ikke kan navigere i reglerne, hvordan skal private virksomheder så kunne?
Dette illustrerer et generelt compliance-dilemma: Virksomheder skal balancere mellem komplekse og til tider modstridende regulativer og samtidig sikre en pragmatisk tilgang, der ikke går ud over effektiviteten. Overvågning, sikkerhedsforanstaltninger og risikohåndtering skal implementeres på en måde, der både opretholder en høj sikkerhedsstandard og respekterer privatlivsbeskyttelsen – uden at skabe unødige administrative byrder eller ubehagelige konsekvenser for dem, der overvåges.
Digital suverænitet: Når regler beskytter nogle – men ikke dig
Virksomheder investerer massivt i compliance, men beskytter det egentlig vores data? Cloud Act giver amerikanske myndigheder adgang til data hos Microsoft, Google og Amazon – uanset hvor de opbevares. I Europa presser regeringer på for at svække kryptering. I Sverige foreslås en bagdør til al krypteret kommunikation, mens Apple nu fjerner avanceret kryptering i Storbritannien for at overholde den nye Online Safety Act, der kræver adgang til private data.
Danmark har i årevis samarbejdet med USA’s efterretningstjenester om overvågning af internettrafik. Snowden-afsløringerne viste, at NSA har udnyttet danske kabler til at overvåge europæiske ledere, mens internationale efterretningstjenester gentagne gange har fået adgang til data, som borgere og virksomheder troede var beskyttet.
Men selv uden myndigheders indblanding er privatliv truet. Datamæglere som Gravy Analytics indsamler og sælger millioner af datapunkter fra apps og digitale tjenester – ofte uden brugernes fulde forståelse. Selv virksomheder, der nøje overholder NIS2 og GDPR, kan ikke forhindre, at deres data indsamles, videresælges eller lækkes gennem tredjepartsaktører.
Så nytter compliance noget? Beskytter reglerne os – eller har vi blot skabt et system, hvor data stadig strømmer frit, bare gennem andre hænder?
Vejen frem: Harmonisering og innovativt samarbejde
Løsningen er ikke at fjerne reguleringer – tværtimod er de essentielle for at beskytte både borgernes data og den digitale infrastruktur. Løsningen er at harmonisere de eksisterende regler, så de understøtter hinanden frem for at modarbejde. En ensartet tilgang på tværs af EU-landene, hvor nationale særregler minimeres, vil kunne reducere den administrative byrde og sikre, at ressourcer investeres i proaktive sikkerhedsforanstaltninger fremfor compliance-bureaukrati.
Et tæt samarbejde mellem regulatorer, erhvervsliv og cybersikkerhedseksperter er nødvendigt for at skabe et regelsæt, der både beskytter individets rettigheder og imødekommer de konkrete trusselsbilleder, virksomhederne står overfor. Det handler om at finde en balance, hvor compliance ikke blot bliver en øvelse i papirarbejde, men et redskab til at identificere og afbøde reelle risici – en tilgang, der i sidste ende vil styrke den samlede digitale sikkerhed.
Konklusion: Gør compliance til et middel – ikke et mål
Selvom cybersikkerhed og databeskyttelse ofte er i fokus, udgør de kun en lille del af det omfattende reguleringslandskab, virksomheder skal navigere i. Med den stigende fokus på ESG (Environmental, Social, and Governance) stilles der stadig større krav til rapportering, der spænder fra bæredygtighed i forsyningskæden til CO₂-aftryk og sociale ansvarlighedsinitiativer. Datacentre, som udgør rygraden i den digitale infrastruktur, mødes af stadigt strammere krav til energieffektivitet, varmegenbrug og ansvarligt strømforbrug som skal flettes ind i bygningsregulativer og skattelovgivning. Samtidig bliver reguleringskravene inden for finansiel rapportering, AI-lovgivning og sektorspecifik compliance stadig mere komplekse, hvilket tydeliggør, at NIS2 og GDPR blot er en brik i et langt større puslespil af lovgivningsmæssige forpligtelser.
Lige nu er compliance ofte et større problem end løsningen. Hvis vi vil skabe et sikrere digitalt samfund, skal reglerne være praktiske, risikobaserede og tilpasset virkeligheden.
Spørgsmålet er ikke, om vi har brug for regulering – men hvordan vi gør den smartere, mere ensartet og mindre administrativt tung.
Fordi sikkerhed handler ikke om hvor mange rapporter du har – det handler om, hvor godt du faktisk er beskyttet.
