Kigger vi på 2022 i et hurtigt tilbageblik, står bæredygtighed og nye regulatoriske krav skrevet med stort på compliancefronten, ligesom meget af det forgange års arbejde har været centreret om at møde de risici, som stadig mere hybride arbejdspladser møder i forbindelse med data- og cybersikkerhed.
Men hvordan kommer de centrale emner til at være i 2023; fortsætter vi ud af samme spor, eller kommer der nye boller på compliancesuppen? Det kigger vi nærmere på neden for.
Compliance 2023: bæredygtighed, informationssikkerhed og databeskyttelse
Når vi kigger på, hvad der rører sig inden for compliance netop nu, er der ingen tvivl om, at 2023 kommer til at byde på et endnu større fokus på bæredygtighed og informationssikkerhed, ligesom databeskyttelse bliver taget op på ny på grund af samarbejdsaftalerne mellem USA og EU.
Bæredygtighedsbølgen påvirker virksomheder af alle størrelser
Vi står over for en række nye lovgivninger i EU-regi, der kommer til at have fundamental betydning for virksomhedernes arbejde med ESG. Ikke blot EU-taksonomien, men også EU’s nye direktiv om virksomheders bæredygtighedsrapportering (CSRD), som forventes at træde i kraft i 2024 for større virksomheder.
Det betyder, at mange virksomheder vil opleve behov for at opbygge nye governance- og datasystemer internt for at kunne håndtere de mange rapporteringskrav, der bliver lige så omfattende som GDPR var på databeskyttelsesområdet.
Overgangen til en bæredygtig low-carbon economy vil formentlig afstedkomme, at langt de fleste virksomheder, uagtet størrelse, skal vænne sig til at indsamle og rapportere på relevante ESG-kriterier til deres stakeholders. Lovgivninger som disse har nemlig en tendens til at sprede sig som ringe i vandet og skabe bølger for de virksomheder, som ikke er direkte omfattet af lovgivningen.
Mindre virksomheder vil derfor også opleve øget efterspørgsel på ESG-data fra specielt banker og finansieringsinstitutter, men også fra større kunder de leverer til. Som en mindre virksomhed gør man derfor klogt i at undersøge, hvordan denne ændring i det juridiske landskab vil komme til at påvirke forretningen – det kan ikke betale sig at vente på sidelinjen. Ved at gribe muligheden nu vil mindre virksomheder være i stand til at sikre sig konkurrencefordele og give sig selv det bedste grundlag for den juridiske virkelighed, som venter forude.
Kort sagt betyder det, at hvis en organisation ønsker at berettige sin egen eksistens og sikre investorer i fremtiden, vil den være nødsaget til at tilpasse de stigende forventninger ved at kigge på risici og muligheder. Rejsen mod en mere bæredygtig verden er nemlig kun i sin spæde start. Fremtiden bringer mange flere forandringer og nye krav forude, og de organisationer, som bedst formår at arbejde strategisk med ESG og bæredygtighed, kommer til at høste store fordele.
LÆS OGSÅ: EU Green Deal: Et klimaneutralt kontinent i 2050
Med NIS2 kommer informationssikkerhed til at fylde igen
NIS2 er endeligt vedtaget, og direktivet skal være implementeret i dansk lov senest 17. oktober 2024 – og dermed kommer informationssikkerhed (endnu engang) til at få en stor plads i compliancearbejdet i 2023.
Udover det faktum at flere sektorer bliver omfattet i det nye NIS2, er den største forskel fra førsteudgaven, at topledere fremadrettet kan stilles til ansvar, hvis organisationen ikke lever op til direktivets krav. Derudover stilles der krav til ledelsesforankring af cybersikkerhedsarbejdet.
I al sin enkelthed betyder det, at mange danske virksomheder i det kommende år skal afse tid og ressourcer til at implementere kravene. Gevinsten ved det hårde arbejde er til gengæld, at – hvis direktivet får den ønskede effekt – virksomhederne vil være bedre rustet til at forebygge og håndtere digitale trusler og it-kriminalitet.
Men det er ikke kun de direkte berørte virksomheder, der skal omstille sig; kravene spreder sig som ringe i vandet, da de omfattede virksomheder skal sikre, at deres leverandører også lever op til kravet. Dermed skal både små og store virksomheder i gang med at kigge den digitale ansvarlighed efter i sømmene og gøre sig klar til den lovgivning, der venter i meget nær fremtid.
Databeskyttelse: 2018-kending får nyt liv i 2023
Siden 2018 har det været nødvendigt for alle virksomheder i EU at forholde sig til GDPR. Som tiden går, bliver arbejdet mere og mere automatiseret, men i 2020 opstod der en udfordring, som vi i 2023 kommer til at se mere til – nemlig EU-Domstolens afgørelse i Schrems II.
EU-Domstolen underkendte den tidligere Privacy Shield-ordning, som etablerede et grundlag for udveksling af personoplysninger mellem EU og USA, da ordningen ikke levede op til kravene i GDPR. Det forsøger USA nu at råde bod på med et nyt dekret, der indeholder en række begrænsninger for blandt andet efterretningsmyndighedernes mulighed for at indsamle personoplysninger samt indarbejder GDPR’s generelle principper.
Vi er ikke i mål med dekretet, men det er et skridt på vejen, som vi kommer til at følge tæt i 2023. Som det ser ud i øjeblikket, udgør dekretet ikke et lovligt overførselsgrundlag, og danske organisationer skal derfor stadig foretage de nødvendige risikovurderinger i forbindelse med tredjelandsoverførsler.
LÆS OGSÅ: Tilsyn med databehandler
