Af cand.jur. Kirsten Majgaard Basse, complianceansvarlig, Gensam
Som jeg skrev i mit sidste blogindlæg, er DORA nu flyttet ind hos vores kunder – faktisk er forordningen nu her den 17. januar 2025 trådt i kraft overfor vores kunder i forsikringsbranchen.
DORA ”Digital Operational Resilience Act” en den forordning, der gælder for alle finansielle virksomheder, og dermed også vores kunder. Den finansielle sektor regnes på EU-plan for at være en del af kritisk vigtig infrastruktur og skal derfor med de nye EU-tiltag arbejde hen imod at sikre en så god modstandskraft som overhovedet muligt mod cybertrusler og angreb i de IT-systemer, der benyttes.
DORA betyder også, at udbydere af finansielle ydelser – banker, forsikringsselskaber og pensionsselskaber – skal sikre sig, at deres IT-leverandørers underleverandører lever op til fastlagte krav og regler om datasikkerhed og beskyttelse.
Udover DORA-forordningen gælder det såkaldte NIS2-direktiv nemlig også særskilt for IT-leverandører og underleverandører. Altså skal en finansiel virksomhed sikre sig, at alle led i forsyningskæderne lever op til aftalte IT- og cybersikkerhedskrav.
Kritisk leverandør med alt, hvad det indebærer
Eftersom vi jo er leverandør af IT-ydelser til en del af den danske forsikringsbranche, skal vi dermed også selv i Gensam leve op til kravene om IT- og cybersikkerhed. Som kritisk leverandør stilles der krav om overholdelse af og dokumentation i form af risikorapportering, om risikostyring og risikoprofil, sikkerhedshændelser, beredskabsplaner og målsætninger, SLA-mål og øvrige kontraktlige krav i forhold til vores kunders IT-leverancer fra Gensam.
Derudover skal vi kunne forsikre vores kunder om, at vi altid og uden undtagelse behandler persondata, vi kommer i besiddelse af som IT-leverandør, med passende og aftalt forsigtighed med hensyn til alle sikkerhedsforskrifter.
Vi må f.eks. ikke ”komme til” at sende kundedata ud af huset til f.eks. en nearshore-udviklingspartner i et ikke sikkert tredjeland og så håbe, at ingen opdager det, hvis overførsel til landet ikke er tilladt. Nu bruger vi heller ikke nearshoring i vores udvikling – vi holder det hele inhouse og udvikler kun i Danmark – men det er blot et eksempel på en overtrædelse, som ikke må forekomme.
Vores kunder kan blive udsat for tilsyn fra Datatilsynet i forhold til de tjenester og databehandlinger vores kunder lægger i hænderne på os at behandle i forhold til deres kunder, som kan udgøre private forsikringstagere eller erhvervsvirksomheder. Ligeledes er vores kunder underlagt tilsyn fra Finanstilsynet bl.a. for så vidt angår IT- og cybersikkerhed.
For at dokumentere, at Gensam løbende lever op til krav og gældende regler, får vi løbende besøg fra eksterne revisorer, som hvert år kommer og tjekker op på alt, hvad vi laver.
Disse erklæringer er vigtige for at vores kunder overfor de relevante myndigheder kan dokumentere, at alt er i den skønneste orden.
Pletfri track record er vores kunders garanti
I alle de år vi har drevet udvikling for vores kunder, har vi til dato ikke fået væsentlige anmærkninger. Også for 2024 er vores revisionserklæringer pletfrie.
Vi lever blandt meget andet op til ISAE3000, som primært vedrører behandling af persondata og til ISAE 3402, som primært omhandler regler for sikkerhed i forhold til IT- og cybersikkerhed i IT-systemer, adgangsstyring til følsomme data, fysisk sikkerhed, tekniske standarder og en lang række øvrige sikkerhedsforskrifter.
Vi har med andre ord formået at være dygtige til at skabe et cyber- og IT-sikkerhedsmæssigt modstandsdygtigt setup gennem alle de år, vi har drevet udvikling af forretningskritisk IT for de små og mellemstore forsikringsselskaber i Danmark. Det er vores kunders garanti for to ting:
- Vi ved, hvad vi taler om, når det handler om IT- og cybersikkerhed, og vi har demonstreret, at vi gennem mange år har efterlevet alle krav på et højt niveau.
- Når vi rådgiver vores kunder om, hvordan de opnår fuld compliance i forhold til DORA, er vi på sikker grund som en stabil og driftssikker samarbejdspartner – vi udvikler nemlig også vores egen organisation løbende for at være på forkant med kravene og risiciene i den virkelige verden. Det hele handler om at være tilstrækkelig modstandskraftig til at imødegå trusler.
Lige børn leger bedst
Vi og vores kunder er alle små selskaber med en stor compliance-byrde. Der er begrænsede ressourcer, området er komplekst, og netop compliance er ikke altid vores kunders hjemmebane, når det handler om IT- og cybersikkerhed. Men det er i dén grad vores hjemmebane.
Derfor vil vi gerne hjælpe med at gøre det lettere og billigere at blive compliant – og det gør vi bedst gennem samarbejde. Det kommer jeg tilbage til i mine næste blogindlæg, så følg med.
Kirsten Majgaard Basse er uddannet advokat og nu ansvarlig for jura og compliance hos Gensam. Hun er om nogen vant til arbejdet i de mindre virksomheder, hvor ressourcerne og kompetencerne oftest er begrænsede og ved, hvordan der løbende sker skærpelse af især regulatoriske krav på både forsikringssiden og it- og cyberområdet. Hun mener, det kalder på samarbejde og fælles erfa-udveksling, for at kunne forblive effektive og compliant uden at omkostningerne stikker helt af, men også for i sidste ende at kunne bevare selvstændigheden fremover.
