Er din bedrift IT-compliant?

Det kommer stadig nye digitale krav til bedrifter. Dette gjør at IT-compliance i framtida blir en sentral del av bedriftenes daglige virke.

Tre store rettsakter trer i kraft i 2024. Anders gir deg en rask oppsummering av disse. 

Corporate Sustainability Reporting Directive (CSRD) bygger i stor grad på FN sine bærekraftsmål og skal fremme ansvarlig bedriftsadferd. Direktivet fokuserer på rapportering av ikke-finansielle aktiviteter, og krever regelmessig offentliggjøring av bedriftens miljøpåvirkning, sosial påvirkning og virksomhetsstyring. 

I utgangspunktet er det kun relativt store bedrifter som må levere slike rapporter. I praksis vil likevel kravet om ansvarliggjøring for hele verdikjeden bety at alle bedrifter som leverer produkter eller tjenester til rapporteringspliktige bedrifter også må ha kontroll på relevante bærekraftsdata. 

Network and Information Security Directive 2 (NIS2) er et direktiv som er rettet mot å øke den generelle cybersikkerheten i samfunnet. Det gjelder i særlig grad for organisasjoner som anses som operatører av viktige tjenester, innenfor sektorer som energi, transport, finans, helsevesen og digital infrastruktur. 

Direktivet legger stor vekt på forsyningskjedesikkerhet. Dette innebærer strengere krav til risikovurderinger og hendelsesrapportering også for leverandører. Tilsynsmyndigheter har undersøkelses- og tilsynsmyndighet og vil holde organisasjoner ansvarlige for eventuelle brudd. Du kan lese mer om NIS2-direktivet på våre sider. 

The AI Act er en forordning som adresserer åpenhet, ansvarlighet og sikkerhet for løsninger som benytter seg av kunstig intelligens. En av konsekvensene er krav om åpenhet i AI-systemers beslutningsprosesser og overholdelse av EUs lov om opphavsrett. Det betyr blant annet at brukere må informeres når de samhandler med AI, og at kunstige eller manipulerte bilder, videoer og lydkilder må merkes tydelig. Direktivet innebærer også et forbud mot sosial poengsum og AI som brukes til å manipulere eller utnytte brukernes sårbarheter. I tillegg skal det sikre forbrukerens rett til å klage og få meningsfulle forklaringer på hvorfor den kunstige intelligensen har kommet fram til det svaret den gir.

Direktivet gjelder i utgangspunktet for alle AI-leverandører, brukere og importører i EU, og tilsynsmyndigheter vil overvåke hvordan AI-sikkerhetskrav etterleves.

Oppsummering

Disse direktivene handler om økt åpenhet, etterlevelse og ansvarliggjøring. For å være IT-compliant må organisasjoner navigere i disse forskriftene og sikre IT-samsvar og ansvarlig praksis. Felles for alle rettsaktene er at bedrifter må ha kontroll på risikostyring og skadeforebygging, rapportering av hendelser og progresjon, samt håndheving og oppfølging

Skrevet av Anders Bråten, Foto - Ingunn Moen