Er du klar for dominoeffekten?

Sist fredag skrev Anders Løvøy i sin leder om problemet med at EU stiller krav til IT-sikkerhet. Han tar definitivt opp et godt spørsmål. For nå som både EU og lokale myndigheter kaster enda flere lover og regler på det norske næringslivet, skaper det ikke bare usikkerhet, det setter også lyset på et ømt punkt.

Mye likt med GDPR

Situasjonen nå kan sammenlignes med da GDPR ble innført, og alle ekspertene som mener vi har forstått hva NIS2 er og som bør iverksettes, står på barrikadene med kumlokk og basuner, blir det å manøvrere i alle velmenende råd like lett som å følge en lavmælt samtale under diskusjon i det engelske underhuset.

Jeg mener at både myndigheter og velmenende eksperter ofte glemmer hva virksomhets ledelse er opptatt av, nemlig kundene. Alt av lover og regler blir nok ikke like godt mottatt som i vår bransje, som endelig får direktiv som bekrefter det vi har gitt gode sikkerhetsråd om i en årrekke. Alle investeringer en virksomhetsledelse gjør blir vurdert opp mot avkastning på investering og risikoappetitt. Gode investeringer er de som gir økt fortjeneste, og reduserer risikoen for at noe uforutsett skal hende med virksomheten.

En irriterende utgift

De aller færreste virksomheter ville nok latt være å betale forsikringer om de var sikre på at uhellet ikke var ute. Dessverre opplever mange NIS2-direktivet, eller til og med grunnprinsippene fra Nasjonal sikkerhetsmyndighet på samme måte: Enda en irriterende utgift man må ta høyde for. Men det er her tingenes tilstand er på vei til å forandre seg. 

God sikkerhet er ikke lenger en utgiftspost det er vanskelig å kalkulere hjem. Det har nå blitt en konkurransefordel. Under dette ligger det å revidere sine underleverandørers it- sikkerhet, og be disse om en tilsvarende analyseutskrift, for kunne vurdere hvilken risiko det er å benytte denne tilbyderen som underleverandør. 

En dominoeffekt 

Norsk næringsliv vil på denne måten, helt uavhengig om din virksomhet treffes av NIS2 og EU-regulativene i dag, få en dominoeffekt. Der vil vi oppleve at det stilles krav «top – down» fra alle som skal velge samarbeidspartnere som vil stille tydelige krav til sine leverandører og underleverandører. 

Dette er faktisk tidenes argument for at norske virksomheter skal få kontroll på egen sikkerhet, ved å gjennomføre en revisjon for å få svart på hvitt hvordan de er skikket opp mot samtidstrusselbilde, NSM sine grunnprinsipper og nå NIS2. 

Ikke minst vil disse analysene gi ledelsen i selskapene som får utført disse, fullt innblikk i hva de må gjøre av både organisatoriske og tekniske tiltak for å være rustet og motstandsdyktige. Dette vil samtidig utløse sunn konkurranse mellom underleverandører som vil komme sikkerhet og samfunnet til gode. 

Alle som skal inngå samarbeid, vil velge de aktørene med sysakene i orden, og de underleverandørene som ikke har sikkerheten på plass må enten ta grep, eller akseptere at de taper kontrakter, kunder og konkurranser. Her vil Darwins lov fungere: Enten sikrer du virksomheten din eller du forsvinner. 

Ikke sitt på gjerdet 

Utfør en analyse, finn ut hvordan din virksomhet ligger an mot de nye regulativene, lag en fremdriftsplan, og ta ut nye rapporter hver gang du gjør et tiltak. Bruk dette som salgsargumenter i alle situasjoner der du trenger ekstra bekreftelse for hvorfor din virksomhet er den riktige samarbeidspartneren.

I min jobb snakker jeg med mange virksomhetsledere, og ser at flere og flere forandrer holdningen fra at it-sikkerhet er en irriterende utgift, til en konkurransefordel.

Dette er faktisk en veldig smart måte å øke sikkerheten i hele samfunnet på.