"D-mærket har oversat NIS 2 til forretningsmæssig værdi"
Regulering kan være krævende at leve op til. Det kender de alt til hos Daka, der er i en særligt reguleret branche. D-mærket har gjort en stor forskel.
Regulering kan være krævende at leve op til. Det kender de alt til hos Daka, der er i en særligt reguleret branche. Et konkret rammeværk kan dog gøre en stor forskel, og derfor har de brugt D-mærket i deres arbejde med den nye NIS 2-lov.
”Virksomheder bliver i stigende grad mødt af krav fra samarbejdspartnere og lovgivere. Det gælder også krav om digital ansvarlighed. Udviklingen er uundgåelig, så vi skal være på forkant med den.”
Der er ingen tvivl at spore hos juridisk chef i Daka, Stine Grauballe Sheta. Antallet af krav stiger til virksomheder, også til mindre virksomheder. Og særligt i en reguleret branche som renovation, som Daka arbejder inden for. De indsamler råvarer fra madaffald og biprodukter fra animalsk produktion og genanvender til produkter som gødning til økologiske landbrug, dyrefoder og biodiesel.
Daka er omfattet af NIS 2- loven fra 1. juli med dertilhørende krav, både i kraft af Dakas egen aktivitet og indirekte igennem deres samarbejde med kunder, der også er omfattet. Det kræver en del struktur og arbejde at få hånd om, hvor kræfterne skal sættes stærkest ind, fortæller Stine Grauballe Sheta.
Et rammeværk kan oversætte lovkrav til mere håndgribelige opgaver, og det er lige netop, hvad Daka har gjort med D-mærket.
”Vi har gode erfaringer med at arbejde med standarder i forhold til at efterleve regulering og andre typer af kundekrav. På den måde har D-mærket været et godt værktøj for os, for det har gjort reglerne mere operationaliserbare. Rammeværket hjælper med at stille de rette spørgsmål til os som virksomhed, og det har hjulpet os med at implementere reglerne på en værdiskabende måde, der passer godt til vores drift,” siger Stine Grauballe Sheta.
Digital ansvarlighed er ikke one size
Daka er en del af en større international organisation med lignende aktiviteter i andre lande, som har 250 medarbejdere i Danmark. De befinder sig midt i leverandørkæden, og derfor er krav ikke kun noget, de skal leve op til over for myndigheder og kunder. Det er også noget, de selv stiller til samarbejdspartnere.
Her indgår også krav til digital ansvarlighed, for cyberangreb kan sagtens ske gennem en underleverandør. Det europæiske cyberagentur ENISA vurderer således, at angreb gennem værdikæden udgør en af de absolut største cybertrusler over de kommende år.
I processen mod at opnå D-mærket har Daka derfor også arbejdet med leverandørstyring:
”Leverandørstyring er et vigtigt fokus i NIS 2, og det har også spillet en stor rolle i vores arbejde med D-mærket. Vi har mange forskellige typer af samarbejdspartnere, og de kan være mere eller mindre kritiske af forskellige årsager. Det har været ekstremt vigtigt for os at sikre, at vi lægger snittet rigtigt – så vi ikke stiller krav, der enten er irrelevante eller ikke skaber reel værdi. Der er ret stor forskel på, hvilke krav det giver mening at stille til et vognmandsfirma og en leverandør af et it-system. Her har D-mærket hjulpet os med at skabe grundlaget for en proces, der er fleksibel nok til, at vi kan arbejde på krav, der også reelt skaber den ønskede effekt,” siger Stine Grauballe Sheta.
Ledelsen har fokus på digital ansvarlighed
I Daka insisterer de på, at processen med D-mærket – og øvrige mærkningsordninger – skal give forretningsmæssig mening og værdi. Og netop den tilgang er en af de anbefalinger, Stine Grauballe Sheta deler med andre virksomheder, der overvejer at arbejde med it-sikkerhed og ansvarlig dataanvendelse.
Ifølge den juridiske chef er det vigtigt, at ledelsen skal tage digital ansvarlighed seriøst og behandle det som forretningskritisk. Arbejdet – særligt under NIS2 – hænger uløseligt sammen med spørgsmålet om generel robusthed for forretningen.
Dernæst behøver man ikke en stor projektafdeling eller et hold af superspecialister for at lykkes med arbejdet. Hos Daka har et lille, dedikeret projektteam stået i spidsen for processen, med projektleder Kasper Jensen fra forretningsudvikling som drivkraft. Han har været tæt understøttet af juridisk chef Stine Grauballe Sheta og it-chef Carsten Weirsøe Widtfeldt – samt af dygtige kolleger fra forretningen, der har bidraget med faglig indsigt og praktisk erfaring.
Her har især samspillet mellem jura og it spillet en stor rolle:
“Vi har arbejdet tæt sammen på tværs af funktioner. Det er vigtigt, at både jura og it spiller sammen, så vi kan lave løsninger, der er både sikre, realistiske og værdiskabende,” forklarer Carsten Weirsøe Widtfeldt.
Det afgørende har været, at projektet hele vejen er blevet betragtet som et forretningsprojekt. Digital ansvarlighed er ikke kun et it-teknisk eller juridisk anliggende – det er en integreret del af den måde, virksomheden opererer på. Derfor har Daka også haft fokus på at forankre arbejdet bredt i organisationen.
Ifølge it-chef Carsten Weirsøe Widtfeldt har Daka haft en pragmatisk tilgang til processen:
”Vi har hele tiden set NIS2 som noget, der skal give værdi og robusthed i vores drift. Det handler ikke om at sætte flueben, men om at gøre det, der rent faktisk styrker forretningen.”
Sidst er det væsentligt at være indstillet på, at der ikke er et facit:
”Når man arbejder med risiko, så er risiko ikke noget, man kan fjerne helt. Man kan arbejde med det. Man kan forberede sig. Man kan styre det. Og man kan lære af de ting, der sker,,” afslutter Stine Grauballe Sheta.
Kort fortalt
Udfordring
Daka ønskede at arbejde struktureret med informationssikkerhed og at forberede sig på den danske udmøntning af EU-direktivet NIS 2, før den danske lov lå klar.
Løsning
Virksomheden har tidligere brugt rammeværker til at operationalisere lov- og kundekrav. I forhold til cybersikkerhed faldt valget på D-mærket, fordi det var et dansk mærke, passede til Dakas størrelse, og fordi kravene flugtede med minimumskravene i NIS 2 og var balancerede – ambitiøse, men samtidig fleksible.
Værdi
Processen med D-mærket skabte en struktur for Daka til at forberede sig på NIS 2-direktivet, før den danske lov trådte i kraft. Samtidig taler kravene direkte ind i Dakas forretning og har gjort det nemmere for virksomheden at arbejde med krav til samarbejdspartnere, fordi de kan tale ét sprog på tværs af leverandører og kunder. D-mærket harmonerer desuden med nogle af virksomhedens øvrige standarder, og derfor kan de strømline processen med kvalitetssikring.
Er I klar til at tage næste skridt mod bedre it-sikkerhed?
Udvalgte cases
Læs flere eksempler på, hvorfor virksomheder har valgt at gå i gang med D-mærket, og hvordan det har skabt værdi for dem.