Ny dansk mærkningsordning skal gøre it-sikkerhed til en konkurrencefordel

22. september 2021 kl. 11:0818
Ny dansk mærkningsordning skal gøre it-sikkerhed til en konkurrencefordel
Illustration: Industriens Fond.
D-mærket skal gøre it-sikkerhed og ansvarlig dataanvendelse til en styrkeposition for danske virksomheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

De otte kriterier for at kunne bryste sig af D-mærket

  1. Styring og forankring i ledelsen

Virksomhedens øverste ledelse tager aktivt ansvar for arbejdet med it-sikkerhed og ansvarlig dataanvendelse. Det er dog ikke nødvendigvis den øverste ledelse, som er udførende på de definerede krav.

  1. Awareness og sikker adfærd

Virksomheden skal sikre, at bestyrelsen og den øverste ledelse modtager træning i it-sikkerhed og ansvarlig dataanvendelse. Virksomheden skal yderligere sikre, at ansatte, konsulenter og leverandører løbende og med jævne mellemrum bliver trænet i awareness og handlingskompetencer i relation til it-sikkerhed og ansvarlig dataanvendelse.

  1. Teknisk it-sikkerhed

Virksomhedens systemer og enheder skal være sikret, så virksomheden reducerer sandsynligheden for sikkerhedshændelser baseret på de mest udbredte trusler. Målet er både at nedbringe risikoen for angreb og databrud og sætte virksomheden i stand til hurtigt og effektivt at opdage, inddæmme og afbøde konsekvenserne samt genoprette vigtige data og systemer, når sikkerhedsbruddet eller angrebet sker.

  1. Krav til leverandørers it-sikkerhed og ansvarlige dataanvendelse

Virksomheden skal have overblik over de leverandører, der håndterer personoplysninger og forretningskritiske data eller på anden måde kan påvirke virksomhedens it-sikkerhed. Virksomheden har formuleret passende it-sikkerhedskrav og krav til ansvarlig dataanvendelse hos leverandørerne og har implementeret kravene kontraktuelt. Større virksomheder foretager risikovurderinger af sine leverandører.

  1. Transparens & kontrol med data

Virksomheden lever op til gældende standarder, lovgivning og god praksis for databehandling i forbindelse med eksternt rettede aktiviteter, der indeholder behandling af personoplysninger.

  1. Privacy & security by design & default

I forbindelse med udviklingen af produkter og tjenester har det stor betydning for tiltroen til virksomheden, at der strukturelt arbejdes med privacy & security by design & default (PbD & SbD). Målet er at skabe sikre produkter og tjenester og beskytte brugernes privatliv og personoplysninger bedst muligt.

  1. Pålidelige algoritmer & AI

Virksomheden skal sikre pålidelige algoritmer og AI, som man kan have tillid til, hvor der er menneskeligt tilsyn og mellemkomst, og hvor der tages ansvar for løbende at sikre kvaliteten. Derved sikres, at algoritmerne og AI virker til gavn for den enkelte og fællesskabet og kan accepteres af dem, de berører.

  1. Dataetik

Virksomheder skal kunne drage nytte af data. Dette skal altid ske på baggrund af menneskets ret til privatlivsbeskyttelse samt ud fra en række etiske principper. Virksomheder, der forholder sig til dataetik, arbejder med at identificere de mest kritiske risici som brugen af data kan medføre på kort sigt og på langt sigt. Virksomheden udvikler produkter og tjenester med udgangspunkt i disse indsigter.

Kilde: D-mærket.

En mærkningsordning, der skal vise forbrugerne, om virksomheder lever op til otte kriterier om it-sikkerhed, persondatabeskyttelse, kunstig intelligens og dataetik, ser nu dagens lys.

Det såkaldte D-mærket skal gøre kriterierne til en styrkeposition og skabe værdi for danske virksomheder og tryghed til forbrugerne.

Det skriver Industriens Fond i en pressemeddelelse.

Artiklen fortsætter efter annoncen

Det er gratis for virksomhederne at komme i gang og anvende D-mærkets digitale selvevalueringsværktøj, men der er årlig betaling for at få selve mærket. Prisen varierer fra 2.800 kr. til 52.250 kroner årligt afhængigt af virksomhedens størrelse.

Før D-mærkets officielle lancering har over 50 virksomheder taget hul på processen med at leve op til D-mærkets kriterier.

Den digitale mærkningsordning er den første af sin slags i verden, og bag mærket står foruden Industriens Fond Dansk Industri, Dansk Erhverv, SMVdanmark og Forbrugerrådet Tænk. D-mærket er en uafhængig privat organisation og støttes af Erhvervsstyrelsen.

»D-mærket er et godt eksempel på et tværgående samarbejde om konkrete løsninger og den fortsatte opbakning fra den stærke gruppe af samarbejdspartnere bliver helt central, nu når vi går i gang med at udbrede mærket og bidrage til et løft i it-sikkerheden og den ansvarlige dataanvendelse i dansk erhvervsliv, hvor potentialet for forbedring er stort, ikke mindst blandt de små og mellemstore virksomheder,« siger direktør i D-mærket Mikael Jensen.

18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
25. september 2021 kl. 11:43

Kære Christian,

Det er da fint for dig at du kender nogen (Ohh, you know a guy)

Jeg forstår ikke dit behov og valg om at latterliggøre og håne mig personligt i en faglig debat om at gøre it-sikkerheden bedre i Danmark, for danske borgere og danske virksomheder. Det er et valg du har taget og jeg deltager ikke i en debat på det vilkår.

Jeg tjekker ud. God weekend til alle

/Bjarke

17
25. september 2021 kl. 00:18

Christian, nu kender jeg de mennesker som konkret er ansat til at gennemføre en revision og jeg kender baggrunden til deres ansættelse. D-mærket er ikke blot en papirproces, men også en proces hvor dine oplysninger vil blive kontrolleret. Det er ikke en automatisk proces.

Og?

Det er da fint for dig at du kender nogen (Ohh, you know a guy), men det var sådan set ikke det jeg anfægtede, men det at det er en gang ikke eksplicit mumbo-jumbo, i den grad baseret på fortolkning, og op til "revisornes" nåde (og honorar).

Vi har rigeligt med iglefunktioner (tilstandsrapporter, elsynsrapporter, energimærker, gdpr juristeri, byggepladsbeskrivelser for småhuse, og fanden og hans pumpestok), der er ikke behov for flere.

16
24. september 2021 kl. 23:48

Til alle jer som ikke tror på dette mærket seriøsitet kan jeg kun sig, at jeg synes i selv skal anmode om adgang til selvevalueringsværktøjet og gennemfører den første del. Det er gratis for alle.

Hvis I vil have ordningen taget seriøst skal der langt mere åbenhed til.

  1. Hvad er kriterierne for revisionen ?
  2. Hvem foretager revisionen ?
  3. Er revisorerne anonyme i forhold til ansøgerne ?
  4. Hvem betaler revisorene for arbejdet ?
  5. Hvorledes forhindres "regulatory capture" ?
  6. Bliver alle ansøgninger og afgørelser fra revisionen offentligjort ?

Uden tilfredsstillende svar, er det bare "grøntvaskning" for IT-sikkerhed og kødben for advokater og vinkelskrivere.

15
24. september 2021 kl. 22:18

På <a href="https://d-maerket.dk/proces/">https://d-maerket.dk/proces/</a&gt; kan jeg ikke finde noget om revision og kontrol af kompetente auditører. Kan du henvise til et sted hvor kontrol er beskrevet? Jeg vil gerne se det

Det er implicit i denne sætning "Når ansøgning er modtaget, går tilsyns- og kontrolprocessen i gang. "

Christian, nu kender jeg de mennesker som konkret er ansat til at gennemføre en revision og jeg kender baggrunden til deres ansættelse. D-mærket er ikke blot en papirproces, men også en proces hvor dine oplysninger vil blive kontrolleret. Det er ikke en automatisk proces.

Til alle jer som ikke tror på dette mærket seriøsitet kan jeg kun sig, at jeg synes i selv skal anmode om adgang til selvevalueringsværktøjet og gennemfører den første del. Det er gratis for alle.

Det gøres via "Virksomheden sender en e-mail til kontakt@d-maerket.dk og anmoder om at blive registreret."

14
24. september 2021 kl. 15:48

Tja, hvad skal man sige...

Bag initiativet står Rådet for Digital Sikkerhed, som udmærker sig ved at mene at det er ok at sende personoplysninger til usikre tredjelande, bare man husker at lave lidt GDPR-papir-fuskeri inden man gør det.

Det er ikke bare markedsføringsgøgl, men også et led i bedrageriet, som skal medvirke til at skjule de ulovlige dataoverførsler.

13
24. september 2021 kl. 09:27

Det afhænger jo meget af øjene der læser.

Meget enig, og jeg forstår ikke hvorfor du fik en tommel ned på det, så jeg skyndte mig at give dig en tommel op.

Men fuldstændig rigtigt, tag nu bare DMARC, som vi har drøftet ofte, der er heller ikke en entydig eksplicit forklaring på hvad der er korrekt, hvorfor det lades op til fortolkning.

Generelt er det fint med en gang ord blah-blah, men det er ikke nødvendigvis specielt anvendeligt, tag f.eks. denne:

"Virksomheden skal forhindre malware- eller virusinfektion af virksomhedens enheder og it-systemer, så uautoriserede individer forhindres i at tilegne sig uretmæssig adgang til disse enheder, fx med henblik på at udføre kriminelle handlinger."

Jamen det er da helt fantastisk, så er malware åbenbart fortid (og her ville jeg så lave et slut irony tag, men det kan dette fantastisk forum ikke finde ud af).

12
24. september 2021 kl. 09:27

Please, PHK læs på lektien. D-Mærket er ikke et mærket bygget på en papirformular. Det indeholder en stor del af kontrol og revision af ganske kompetente auditører. Mærket opnås ikke uden at den underliggende teknik på plads

https://d-maerket.dk/proces/ kan jeg ikke finde noget om revision og kontrol af kompetente auditører. Kan du henvise til et sted hvor kontrol er beskrevet? Jeg vil gerne se det

Til gengæld kan jeg se, punkt 5: "Tilsyn og kontrol ", at man skal uploade dokumentation for at man overholder de kriterier man selv har sat formuleret inden for rammerne af mærkningen. Og det skulle være til at klare, mener jeg.

11
24. september 2021 kl. 04:54

Der har jeg også kigget.

Tag nu f.eks:

"3.2.1 Opsætning og vedligeholdelse af korrekt konfiguration"

Det afhænger jo meget af øjene der læser.

9
23. september 2021 kl. 19:57

Hej Bjarke Jeg synes lige præcis ikke jeg kan finde noget specifikt :-(

7
23. september 2021 kl. 15:13

“ Nej, de behøver kun forholde sig til hvordan de billigst udspyer nogle dokumenter der får det til at se ud som om de gør det.

Frivillige "loge-mærker" er uden effekt og uden værdi.”

Please, PHK læs på lektien. D-Mærket er ikke et mærket bygget på en papirformular. Det indeholder en stor del af kontrol og revision af ganske kompetente auditører. Mærket opnås ikke uden at den underliggende teknik på plads

5
23. september 2021 kl. 07:26

Hvor kan man læse noget om hvad der helt konkret kræves?

4
22. september 2021 kl. 22:54

Frivillige "loge-mærker" er uden effekt og uden værdi.

Jeg er ikke helt enig. Der er mange der gerne vil tro på det gode hos andre. Det er dem der tit føler sig snydt.

Der er også dem som tror at en ISO 27001 Certificering siger noget om it-sikkerhed og tror at en leverandørbetalt revisorerklæringer fortæller sandheden.

2
22. september 2021 kl. 20:46

Det er forkert det du skriver PHK. Mærket kan ikke tildele sanktioner til en virksomhed. Det kan kun en myndighed.

Mærket derimod gør at C-teamet bliver nød til at forholde sig til praksis for god sikkerhed og hvordan det efterleves. Mærket er skabt for at motivere til god sikkerhed og ikke for at straffe.

Afhængig hvem og hvad man er som organisation er mærket mere eller mindre komplekst at opnå.

Ift. straf og bøder så tag et på det kommende NIS2 direktiv.

1
22. september 2021 kl. 20:24

Uden konsekvenser der rammer C-teamet og ejerne/aktionærene prestigemæssigt og pengemæssigt, er det bare markedsføringsgøgl.