DEBATT | Amund Kristiansen – Canon

MULIGHET: Det er lett å se NIS2 som en byrde, men det er mulighet, mener Amund Kristiansen, sikkerhetsansvarlig i Canon Norge (Foto: Canon)

Formålsparagrafen – din machete i regeljungelen

NIS2-direktivet får mange ledere og it-ansvarlige til å kjenne på presset. Hva betyr det for bedriften, hvor begynner du og hvordan møter du kravene uten å drukne i detaljer? Svarene ligger i formålsparagrafen. Den første og viktigste delen av direktivet som setter retningen for alt annet.

Publisert

NIS2, EU sitt nye direktiv for cybersikkerhet, vil gjelde for samfunnskritiske og viktige virksomheter. Alt fra helse, energi til transport og finans. Formålet? Å sikre et høyt felles nivå av sikkerhet i hele EU og EØS.

Reglene er omfattende og tekniske, og handler om alt fra risikostyring og rapportering til krav om tofaktorautentisering og beredskapsplaner. Det er lett å miste oversikten, og det er her formålsparagrafen kommer til unnsetning.

I NIS2-direktivet står formålet klart formulert i første artikkel. Direktivet legger føringer som har som mål å oppnå et høyt felles cybersikkerhetsnivå i hele unionen. Med andre ord – målet er bedre sikkerhet for å beskytte samfunnskritiske funksjoner. Alle andre krav i direktivet, uansett hvor teknisk og komplisert det virker, handler om dette ene målet.

To spørsmål

Med andre ord er det bare å gå tilbake til formålsparagrafen når du blir overveldet av begreper og regler. Det handler egentlig om å besvare to spørsmål. Hvordan kan bedriften bidra til bedre sikkerhet, og hva er det mest effektive første steget å ta? Svaret er relativt enkelt: Styrk sikkerheten på «åpenbare» områder først, der du vet at du er for dårlig, samtidig som du bygger kompetansen til å gå planmessig til verks.

Det er lett å se NIS2 som en byrde. Sannheten er at det er en mulighet.

Konkret kan dette bety å starte med å styrke passordrutinene og tilgangsstyringen, samt å få på plass tofaktorautentisering. Så kan du lage en beredskapsplan og kartlegge risikoer mer inngående. Hvor er bedriften sårbar, og hva må endres og forbedres?

Det er lett å se NIS2 som en byrde. Sannheten er at det er en mulighet. Det er en unnskyldning for å få på plass tiltak du kanskje allerede visste var nødvendige. Behov for større budsjett? Refererer til NIS2. For ikke minst «tvinger» direktivet ledelsen å vie sikkerhet oppmerksomhet. Formålsparagrafen hjelper deg også med å kommunisere verdien av it-sikkerhet internt. Når en er tydelig på at målet er bedre sikkerhet for alle, blir det også enklere å skape forståelse og engasjement internt.

God forretning

God sikkerhet er ikke bare i samsvar med NIS2. Det er god forretning. Robusthet og motstandsdyktighet beskytter mot trusler, styrker omdømmet, og kan hjelpe deg å åpne nye dører også i en kommersiell sammenheng.

NIS2 er en omstilling. Start med å lese formålet nøye og bruk det som en ledestjerne.

Husk også at risikobildet endrer seg hele tiden, så evnen til å ta beslutninger og innføre tiltak er vel så viktig som det å ha en detaljert plan- ikke føl at du må ha alt satt i stein flere år fremover, før du starter å bli sikrere!

NIS2 er en omstilling. Start med å lese formålet nøye og bruk det som en ledestjerne. Det viktigste er å begynne med små konkrete tiltak. Det handler ikke bare om å møte kravene, men like mye om å styrke bedriften for tiden som kommer. Finn frem formålsparagrafen og kutt deg gjennom regeljungelen.