GDPR, NIS2 og ISO for SMV'er

Det kan være svært at navigere i sikkerheds- og compliance-junglen, især som lille eller mellemstor virksomhed. Men GDPR, NIS2 og ISO 27001 er ikke kun for store koncerner. Flere og flere SMV’er bliver direkte eller indirekte omfattet – især når de leverer til større kunder eller arbejder med kritiske data.

Det handler ikke om at opbygge en hel compliance-afdeling, men om at forstå, hvad der er nødvendigt, og hvor risikoen er størst. Med de rigtige tiltag kan SMV’er både styrke deres sikkerhed og samtidig opfylde kravene – uden at drukne i papirarbejde.

Hvad skal du som SMV være opmærksom på?

GDPR – Databeskyttelse i praksis

• Sørg for at have en opdateret privatlivspolitik og databehandleraftaler (DPA) med relevante samarbejdspartnere.
• Lav en risikovurdering og dokumentér, hvordan I beskytter personoplysninger.
• Overvej, om I har brug for en DPO (Data Protection Officer) – det er ikke et krav for alle SMV’er, men i visse tilfælde nødvendigt. DPO’en kan være både intern og ekstern.
• Hav procedurer for databrud og intern awareness omkring håndtering af persondata.

NIS2 – Kritisk for leverandører og IT-sikkerhed

• Hvis I leverer IT-tjenester, hosting, cloud, netværk eller har kunder under NIS2, kan I blive omfattet via forsyningskædekrav.
• NIS2 kræver bl.a.:
  • Risikostyring og hændelseshåndtering
  • Rapportering af alvorlige cyberhændelser
  • Klar dokumentation for sikkerhedsforanstaltninger
• Ofte stiller større kunder krav om, at deres leverandører lever op til NIS2-kompatible kontroller – også selv hvis de ikke selv er direkte omfattet.

ISO 27001 – Struktur på informationssikkerheden

• ISO 27001 er ikke et krav, men en best practice-standard, som giver et stærkt fundament for sikkerhedsstyring.
• Velegnet for SMV’er, der ønsker:
  • At dokumentere kontrol med risici
  • At vinde tillid hos større kunder
  • At sikre en ensartet tilgang til it-sikkerhed
• ISO kan også være en fordel i udbud, samarbejder og salg – især i B2B-miljøer.

Gode råd til SMV’er

• Start småt: Fokusér på de største risici og de mest følsomme data.
• Lav en simpel sikkerhedspolitik, og få ledelsen med.
• Få styr på adgangsstyring, back-up, awareness og hændelseshåndtering.
• Brug skabeloner og værktøjer (fx fra Datatilsynet, ENISA, ISO guides).
• Overvej ekstern hjælp til revision eller opstart.

Det er ikke bare for de store

Compliance handler ikke om papirnusseri – det handler om at beskytte sin virksomhed, sine kunder og sit omdømme. For SMV’er er det ekstra vigtigt at prioritere rigtigt – og dokumentere det.

Compliance er ikke luksus – det er overlevelse i digital form.