Lovkravene bliver flere og flere – men er bestyrelserne klar?
NIS2, ESG og GDPR. På ingen måde tilfældige bogstavkombinationer, der dækker over komplekse problemstillinger, når virksomheder skal leve op til skærpede krav. Og det kan være dyrt ikke at have styr på reglerne, som sætter bestyrelser under pres.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
I løbet af 2024 kommer der nye og langt mere omfattende krav til virksomheders it-sikkerhed. Den teknologiske udvikling brager afsted og der er sket gigantiske landvindinger, siden de sidste regler på området blev indført i 2016.
Danske virksomheder kender endnu ikke til den konkrete ordlyd i lovgivningen, som lader vente på sig, men de kan se frem til markante stramninger.
Godt nok gælder reglerne kun virksomheder af en vis størrelse, men det er åbenlyst, at langt flere bliver omfattet, ganske enkelt fordi større virksomheder vil lade de krav, der er gældende for dem, gå videre til små underleverandører.
De nye og komplekse regler falder dermed ind i en tendens, der er stadig mere tydelig. Forbrugerbeskyttende lovgivning fra EU stiller krav til virksomhederne, der skal overholde, indrapportere, implementere og ændre. Og selvom reglerne i teorien skal indfases i flere tempi, vil små virksomheder, der handler med store, skulle leve op til den skærpede lovgivning med det samme – fordi de er en del af de stores værdikæde.
NIS2 hedder den nye cybersikkerhedspakke. ESG-reglerne for, hvilket aftryk en virksomhed har på miljøet, de sociale forpligtelser og foranstaltninger i forhold til personalebeskyttelse, er også på vej. Her skal der laves et egentligt regnskab, der tager højde for andet end økonomi. Og der vil med sikkerhed også være dem, der husker, hvordan indførelsen af GDPR-reglerne om datasikkerhed gav grå hår i hovedet på de ansvarlige i den enkelte virksomhed.
Og det er ikke for sjov, reglerne bliver lavet. Eller håndhævet. Arp-Hansen hotelgruppen har netop fået en bøde på 1 mio. kr. for ikke at overholde GPDR-reglerne ved at gemme kundernes oplysninger i længere tid end tilladt.
Det kræver ledelsesmæssig handlekraft at få sat ressourcerne af til at leve op til de gældende krav – og være forberedt på dem, der kommer. Den reaktive bestyrelse får det svært, hvis man først reagerer, når reglerne træder i kraft. Det kræver langt mere forberedelse at orientere sig om det regulative landskab, en virksomhed befinder sig i – og som den på sigt vil befinde sig i.
Det kan være ganske forståeligt, hvis der er murren i krogene over nye og omfattende regler. Men det nytter ikke alverden, og den forudseende virksomhed betragter det som et konkurrenceparameter at være på forkant med implementeringen af regulativer.
Hvis man som virksomhed lever op til alle regler, og det giver en konkurrencefordel i kampen om at kunne levere til større virksomheder, der foretrækker en partner, som uproblematisk kan indgå i værdikæden, så kan de indledende investeringer hurtigt være tjent hjem.
Det kræver en hurtigt reagerende ledelse og bestyrelse, der justerer strategi i tide og afsætter de nødvendige ressourcer. Det kan være eksterne rådgivere, omstruktureringer i perioder eller nyansættelser. For reglerne stiller stadig større krav til landets bestyrelser, som igen bør stille større krav til sig selv. Om at have den rette viden, de rigtige kompetencer og modet til at lægge en strategi, der gør benspænd til fordele og regler til konkurrenceforspring.
