“Vores potentielle kunder efterspørger i stigende grad compliance-rapportering, bl.a. inden for NIS2. Så dét skal vi vise, at vi har styr på, før kunderne overhovedet vil snakke pris og tekniske løsninger.”
Max Larsen
CTO hos Cloud Factory
Dén præmis er blevet ‘hverdagskost’ på salgsmøder for Max Larsen. Han er CTO hos Cloud Factory og har det daglige ansvar for virksomhedens Partner Care-afdeling samt teamet, der leverer Infrastructure as a Service.
Udover at være bl.a. distributør af Microsoft-licenser stiller Cloud Factory serverkapacitet til rådighed til deres partnere. Disse servere bruges til at hoste slutkundernes data.
Der er en klar adskillelse mellem Cloud Factory og partnernes servere, da Cloud Factory ikke har adgang til disse. Det ændrer dog ikke på, at IT-sikkerhed og -compliance er højt på dagsordenen hos Cloud Factory:
”Vi har ikke adgang til servere, som vores partnere køber og bygger, men der hvor compliance bliver essentielt for os er, når vores partnere og deres slutkunder spørger ind til, hvordan vi efterlever deres specifikke krav til compliance og IT-sikkerhed.”
Max Larsen
Derfor er det særligt Cloud Factorys partneres slutkunder, der stiller høje krav til IT-sikkerhed:
“Hvis vores partneres kunder er underlagt NIS2, så bliver kravene lagt videre til os. At være i stand til at dokumentere og vise vores compliance og IT-sikkerhed er derfor helt essentielt for forretningen.”
Max Larsen
Da NIS2-kravene ramte
Cloud Factory har oplevet en eksplosiv vækst på få år. Regnskabet fra 2023 viser en omsætning på omkring 180 millioner, hvilket udgør en stigning på 100 millioner siden 2021.
Med dén vækst fulgte også skærpede compliance-krav og andre regulatoriske forpligtelser, da Cloud Factory begyndte at håndtere et større og større antal partnere og kunder:
“Når vi har mange partnere, som snakker med så mange slutkunder, kommer compliance-kravene til at ramme os helt naturligt.”
Max Larsen
Udover partnernes slutkunder er Cloud Factorys potentielle partnere begyndt at stille krav til virksomhedens IT-sikkerhed – og efterspørger derfor dokumentation på Cloud Factorys NIS2-compliance.
Erfaringerne fra GDPR havde lært Cloud Factory, at der er behov for en velstruktureret og kontinuerlig tilgang til styring af compliance-aktiviteter. Da NIS2 begyndte at røre på sig, vidste Cloud Factory, at det krævede hurtig handling, da:
- De som leverandør af digital infrastruktur er underlagt NIS2-direktivet
- Det ville sikre fortsat vækst ved at kunne dokumentere NIS2-compliance overfor partnere og deres slutkunder.
GDPR-erfaringerne var dog ikke den eneste grund til, at Max Larsen var skarp på behovet i Cloud Factory:
“Vi har været langt fremme i forhold til NIS2 i lang tid, da vi bl.a. har haft en ISAE 3402 i alle de år, der er drevet Infrastructure as a Service i Cloud Factory. Men vi har styret det hele i Excel-ark kombineret med projektstyringsværktøjer før, som gjorde det svært at holde overblikket. Så vi havde brug for et system, der kunne hjælpe med at give overblik og struktur.”
Max Larsen
Max Larsen var klar over, at det ville blive vanskeligt at bygge sådan et system internt til at løfte Cloud Factorys compliance-niveau yderligere. For direktivet udstikker ikke en struktur på forhånd, og det er heller ikke åbenlyst, hvad der skal revideres:
“Hvis man skal bygge det selv, så bliver det enormt komplekst, og man skal have så meget viden om alt indenfor IT-sikkerhed og NIS2 for ikke at misse essentielle elementer.“
Max Larsen
Havde gode erfaringer med ComplyCloud i forvejen
Da Cloud Factory i forvejen brugte ComplyClouds GDPR-løsning, vidste Max Larsen og resten af compliance-gruppen, at compliance-opgaver i platformen er givet på forhånd.
Samtidig tilbyder løsningen struktur og overblik, da man får automatiske påmindelser og opgaver, der skal følges op på eller tages stilling til.
Netop derfor valgte Cloud Factory også at bruge ComplyCloud til at sikre virksomhedens NIS2-compliance.
“Du får et roadmap, nogle tjekbokse og opgaver, du skal løse. Dét giver os en kæmpe tryghed i, at vi tackler compliance korrekt. Så vi valgte ComplyCloud, først og fremmest fordi det er et godt IT-system, men også fordi vi har fået en juridisk rådgivning som vi har kunnet læne os solidt op ad. Dét har været ekstremt vigtigt for os.“
Max Larsen
Cloud Factory står endnu stærkere i deres arbejde med NIS2 takket være ComplyCloud-løsningen, som er det fundamentale værktøj for virksomhedens compliance-styregruppe.
Sikret en systematisk tilgang – og ro i sindet
Den klare ‘timeline’ og vejledning til best practice fra ComplyCloud har givet en systematisk tilgang og en følelse af ro i sindet. Og det er to vigtige komponenter i arbejdet med NIS2, da det er en udfordring for mange virksomheder at forstå kravene i NIS2-direktivet og bagefter ‘oversætte’ dem til egen virkelighed.
Det har været et stort plus for Cloud Factory, at de ikke skulle starte fra bunden, da der med ComplyClouds NIS2-løsning på forhånd var defineret et framework for, hvad de standarder og den plan man skal følge for at blive NIS2-compliant:
“Opstarten med ComplyCloud har været ligetil, da deres definerede framework udstikker vejen til NIS2-compliance.”
Max Larsen
I dag benytter Max Larsen og hans team sig også af ComplyClouds risiko- og leverandørstyringsmoduler. Da netop risiko- og leverandørstyring er en central del af NIS2, har det givet Cloud Factory et komplet overblik over deres forsyningskæde – og ikke mindst tryghed i, at de har styr på deres underleverandører.
Max Larsen og resten af styregruppen er fortsat i gang med det forberedende arbejde til NIS2, guidet af ComplyClouds prisvindende software samt juridiske rådgivning.
Vil du blive klogere på, hvordan vi også kan hjælpe din organisation med at blive NIS2-compliant, inden den danske NIS2-lov træder i kraft i slutningen af 2024? Få sat et møde op med os her.