Kigger vi blot et par år tilbage, har der været en del skriverier i medierne om en række store virksomheder, der har været udsat for hackerangreb, it-nedbrud, tab af persondata, ransomware og mange andre it-katastrofer. De virksomheder, der er flest af i Danmark – altså de små og mellemstore virksomheder – er bestemt også i søgelyset her, for selvfølgelig er det ikke kun de største virksomheder, der udsættes for sådanne udfordringer.
Men hvad kan man som ledelse – måske endda øverste ledelse såsom bestyrelse eller ejerkreds, der ikke deltager i den daglige drift – gøre for at sikre det rigtige it-sikkerhedsniveau?
Sikkert er det, at man aldrig kan opnå 100 % it-sikkerhed. Denne erkendelse er meget vigtig. Sikkert er det også, at man kan poste millioner af kroner i teknisk it-sikkerhed (firewalls, kryptering, backup osv.), men alt dette vil og kan ikke sikre mod en tankeløs eller naiv bruger, der klikker på det ”forkerte” link. Artiklens ærinde er imidlertid ikke at pege på konkret udstyr eller software, der bør anskaffes, men i stedet, hvilke beslutninger der skal træffes – og ikke mindst af hvem.
Kan man som virksomhed outsource hele it-sikkerhedsområdet og dermed få løst problemet? Nej, ansvaret for it-sikkerheden kan aldrig outsources. Ansvar i det hele taget kan aldrig outsources. Ansvaret er altid placeret hos ledelsen, og spørgsmålet er herefter, hvordan ledelsen kan sikre, at it-sikkerheden er på det rette niveau.
Bestyrelsen bør starte med at spørge direktøren om tiltag, der er gjort for at sikre en stabil it-drift og undgå datatab. Spørgsmålet lyder enkelt, men det vil svaret givetvis ikke være. Direktøren må helst ikke svare, at ”det ved den it-ansvarlige, så det ved jeg ikke”. Måske svarer direktøren ud fra den antagelse, at hun/han skal komme med tekniske forklaringer, hvilket ikke er meningen. I værste fald er direktøren bare ærlig …
CIA og it-sikkerhed
Enhver virksomhed bør som minimum gøre sig overordnede tanker om risici i forhold til sikring af:
• Datafortrolighed. Tab eller uønsket offentliggørelse af data (især person- eller andre fortrolige data) kan ikke ske.
• Stabil it-drift. Systemerne skal virke og afvikles som forventet, og der skal være testede planer for at vende tilbage til normal drift inden for en estimeret tidsramme.
• Dataintegritet. Data kan ikke uretmæssigt ændres eller slettes.
Ovennævnte er også kendt som CIA (confidentiality, integrity og availability) og benyttes af mange inden for sikkerhedsbranchen som den helt overordnede paraply ift. adressering af it-sikkerhed.
Afhængig af virksomhedens størrelse og kompleksitet kan ovennævnte overvejes og dokumenteres mere eller mindre struktureret, men efterhånden er it-afhængigheden i næsten alle virksomheder så omfattende, at det af et bestyrelsesmedlem vil anses for en mangel, hvis den daglige ledelse ikke har gjort tiltag til at beskrive risici ved og afhængighed af it. Vurdering af it-sikkerheden bør være en del af bestyrelsens årshjul på lige fod med fx CSR, miljøforhold, væsentlige kommercielle risici, forsikringsforhold mv.
For nogle virksomheder giver det mening at starte med en risikoanalyse i forhold til førnævnte CIA-principper, som efterfølgende udmøntes i en række konkrete tiltag såsom beskrivelse af politikker og procedurer, kriterier for valg af leverandører osv. Andre virksomheder kan måske nøjes med politik og procedure for adgangsstyring, ændringsstyring og leverandørstyring, hvor kravene sættes kvalitativt direkte i dokumenterne, så det for virksomheden fremover ikke vil være muligt at etablere samarbejde med en it-leverandør, der ikke har et passende sikkerhedsniveau.
Opmærksomheden på it-sikkerhed er ikke ny, men omvendt er det stadig ikke helt så almindeligt at tildele it-sikkerhed samme opmærksomhed som virksomhedens økonomifunktion, salgsfunktion m.m. Mange direktører har det måske lidt svært med at udfordre it-folkene i virksomheden, for så “begynder de jo bare at tale et sprog, vi ikke forstår”. Påstanden kan nok ikke helt afvises, men på den anden side vil en økonomichef i ondt lune også kunne kommunikere på en måde, som en allround-direktør ikke helt forstår. Direktøren (og bestyrelsen) må blot være bevidste om at have en kommunikation med virksomhedens it-afdeling og/eller it-leverandører på et forretningsmæssigt, ikke-teknisk niveau.
Rapportering om dataetik
Via selskabslovgivningen har myndighederne også sat mere fokus på virksomhedernes håndtering af it og data. I 2021 blev det således vedtaget, at de største virksomheder fremover skal rapportere om dataetik i deres årsrapporter. Tilsvarende vil revisorerne fremover i højere grad have fokus på kundernes it-forhold og it-sikkerhed.
Til inspiration kan nævnes, at Bestyrelsesforeningen har udarbejdet vejledninger til bestyrelser (som også bør læses af direktører) om, hvordan it-sikkerhed kan komme på dagsordenen i bestyrelseslokalet. Direktøren vil naturligvis skulle eksekvere, og vejledningen kan dermed inspirere direktøren i forhold til kommunikationen med virksomhedens it-afdeling og/eller it-leverandør. En anden inspirationskilde, der nok er mest relevant for de lidt større og komplekse virksomheder, er CIS18-kriterierne (critical security controls). Disse kriterier giver et billede af, hvordan man kommer “hele vejen rundt” om de væsentlige elementer i it-miljøet, og CIS18-kriterierne kan derfor også være et passende grundlag for den løbende rapportering til bestyrelsen.
Små og mellemstore virksomheder har under COVID-19-pandemien haft mulighed for at tage rentefrie lån til A-skatter og moms hos Skattestyrelsen. Det er ikke længere muligt at søge om disse lån, tværtimod nærmer forfaldsdatoen sig. Lån, der oprindeligt forfaldt til betaling henholdsvis den 1. november 2021 og den 1. februar 2022, har fået udskudt forfaldsdatoen til den 1. april 2022.
Hvis virksomhederne ikke har likviditet til indfrielse af lånene, er der åbnet mulighed for en udvidet betalingsordning, når visse betingelser er opfyldt.
Momslån
For små virksomheder var der mulighed for momslån gældende for indberetningsperioden 2. halvår
2019 samt 1. og 2. halvår 2020.
For mellemstore virksomheder var det gældende for 4. kvartal 2019, 3. og 4. kvartal 2020 samt 1. kvartal 2021. For momslån vedrørende 1. kvartal 2021 er der dog først frist til betaling den 1. november 2022.
A-skatter
Lån til A-skatter, der forfalder til betaling den 1. april 2022, vedrører indberetninger for januar 2021 for små og mellemstore virksomheder og februar 2021 for store virksomheder. Der er flere forskellige forfaldsdatoer knyttet til forskellige indberetningsperioder, hvor der var mulighed for at tage imod lån til A-skatterne.
Betalingsordning med Skattestyrelsen
Hvis virksomheder har udfordringer med tilbagebetaling af lånene, er der mulighed for at anmode om en betalingsordning. Denne betalingsordning er udvidet med op til 24 måneder mod almindeligvis 12 måneder. Der er dog en række betingelser, som skal være opfyldt, for at der kan indgås en betalingsordning, herunder:
- Der må ikke være skattekontogæld under inddrivelse
- Betalingsordninger på skattekontoen skal være overholdt inden for den sidste måned
- Der kan kun være en betalingsordning ad gangen
- Der kan ikke ændres afgiftsperiode, når der oprettes en betalingsordning
- Hvis der er fastsat foreløbige indberetninger, fordi lånene ikke tidligere er blevet indberettet, skal der ske indberetning af disse, før der kan oprettes en betalingsordning.
En betalingsordning med Skattestyrelsen er imidlertid ikke gratis. Det koster pt. 0,7 % i rente om måneden, svarende til en årlig rente på 8,4 %. Renten er ikke fradragsberettiget.
Kontakt din revisor, hvis du har brug for rådgivning og hjælp til at finde den optimale løsning for afregning af lånene.
|
Forfaldsdatoer |
Indberetningsperioder |
|
|---|---|---|
|
Små og mellemstore virksomheder |
Store virksomheder |
|
|
1. april 2022 |
Januar 2021 |
Februar 2021 |
|
1. juni 2022 |
September 2020 og februar 2021 |
September 2020 og marts 2021 |
|
1. november 2022 |
August 2020 og december 2020 |
August 2020 og december 2020 |
|
1. februar 2023 |
Marts 2021 |
April 2021 |
|
1. maj 2023 |
Oktober 2020 |
Oktober 2020 |
Momsangivelsesperioder
Momsangivelsesperioder afhænger af størrelsen af en virksomhed. Små virksomheder med en årlig omsætning på under 5 mio. kr. skal angive momsen halvårligt, mens mellemstore virksomheder, der har en årlig omsætning på mellem 5 mio. kr. og 50 mio. kr., skal angive momsen kvartalsvist. Store virksomheder med en årlig omsætning på over 50 mio. kr. skal angive momsen månedligt.
Angivelsesperioder for A-skat og AM-bidrag
Hvis de årlige AM-bidrag er under 250.000 kr., og/eller A-skatter er under 1. mio. kr., bliver en virksomhed i denne sammenhæng betragtet som en lille eller mellemstor virksomhed. Hvis disse grænser overskrides, bliver virksomheden betragtet som stor.