Det kan virke helt uoverskueligt. Men det er en fejl at se regulering som at trække i håndbremsen. Det handler om, at truslerne og kravene er virkelige, og dem, der tager dem alvorligt, ikke bare forbedrer sikkerheden. De har en konkurrencefordel.

Fra bøvl til business

GDPR virkede for mange som en game-changer, og det var det også. Men siden er landskabet blevet endnu mere komplekst, især med NIS2 og DORA, som stiller store krav til både cybersikkerhed og topledelsens ansvar.

Konsekvenserne er ikke små. Udover millionbøder kan ledere personligt blive holdt ansvarlige ved grov forsømmelse. Og flere vil snart blive ramt. Cyber Resilience Act omfatter nemlig alle, der sælger digitale produkter med software i EU – også mange, der i dag føler sig uden for reguleringens rækkevidde.

En ny undersøgelse blandt it-ledere i finanssektoren viste, at hver femte mener, at mængden af digital regulering er ved at blive en barriere for innovation og konkurrence. Den følelse er ikke svær at forstå – især ikke for de ledere, der jonglerer med både drift, sikkerhed og compliance på én gang.

Compliance er ikke lig med sikkerhed

Selvom mange føler, at regulering bremser innovation, viser vores erfaring noget andet. Organisationer, der tager compliance alvorligt og integrerer det i deres strategi, står stærkere – også forretningsmæssigt.

Og behovet er reelt. Cyberangreb er blevet hverdag for digitale virksomheder. Bare de seneste måneder har vi set sager, hvor store spillere som Jaguar Land Rover, M&S og for nyligt lufthavne på tværs af Europa, som har fået lammet deres drift af angreb.

Derfor handler det ikke kun om at undgå bøder. Organisationer har brug for robust databeskyttelse – uanset om der var en lovgivning eller ej. Og reguleringerne sætter i virkeligheden bare et minimumskrav. Hvis man først begynder at handle, når kravene træder i kraft, er man allerede bagud.

Det betaler sig til gengæld at være foran. Seneste tal fra Veeam og McKinsey viser, at virksomheder med høj datamodenhed ikke bare undgår nedetid og datatab, men også vokser hurtigere end konkurrenterne – i gennemsnit 10 % mere i omsætning.

Resiliens kræver strategi

Mange ser stadig regulering som et taktisk krav. Men ægte dataresiliens kræver et strategisk skift. Det handler om at gå fra brandslukning til forebyggelse, fra lappeløsninger til langsigtet planlægning. Og det kræver, at IT, sikkerhed og ledelse samarbejder.

Modne organisationer bruger allerede dataresiliens-modeller til at måle og forbedre deres niveau. De bliver også nemmere tilgængelige og giver virksomhederne en konkret ramme for, hvordan man både kan vurdere sit nuværende niveau og tage målrettede skridt mod forbedringer.

Det giver ikke kun compliance, men også en klar forretningsmæssig fordel: lavere omkostninger, færre afbrydelser og hurtigere beslutninger.

Klar til næste lov?

Virksomheder, der ser regulering som en mulighed i stedet for en byrde, er bedre rustet til fremtiden. De behøver ikke at frygte Cyber Resilience Act – de er allerede (mindst) 90 % i mål. For dem er compliance ikke et mål i sig selv, men et bevis på, at deres strategi virker.

Mit råd? Drop tjekliste-tankegangen. Tænk regulering som en chance for at afprøve og ‘flexe’ jeres modstandsdygtighed. Det betaler sig – både som konkurrenceparameter og i krisetid.