DEBATT:
NIS2 – et paradigmeskifte som krever et nytt perspektiv på cybersikkerhet
NIS2 er et sett med retningslinjer og krav for cybersikkerhet som forplikter alle virksomheter av en viss størrelse og betydning for samfunnet og økonomien. Det vil i praksis si svært mange, også fordi det setter krav bakover i virksomhetenes verdikjede. Tilpasningen kan for noen være tung og tidkrevende, men samtidig kunne ha stor kommersiell og omdømmemessig verdi.
Direktivet vil for mange bety implementering av en rekke hensiktsmessige tiltak for å sikre nettverk og informasjonssystemer mot cyberkriminalitet, men handler egentlig om noe helt annet.
NIS2 bør ses på som et paradigmeskifte som krever et nytt perspektiv på sikkerhet – og en annen måte å tenke og jobbe på enn mange it- og sikkerhetsfolk er vant til.
Tilnærming til NIS2 er ikke et prosjekt med en sluttdato, og det angår ikke bare én avdeling eller ett team i organisasjonen. Det finnes ingen fasit eller komplett standardliste over alle nødvendige tiltak, og det handler ikke om å kjøpe og implementere teknologi.
NIS2 handler om å følge et sett av grunnprinsipper og etablere et retningsgivende kompass for cybersikkerhet som hele organisasjonen styrer etter. En ny måte å tenke cybersikkerhet på som setter seg i ryggmargen av bedriftskulturen. Alle ansatte må praktisere god «cyberhygiene». Sikkerhet må innarbeides som en fast, rutinemessig del av hverdagen, på linje med tannpussen.
Det kan høres ut som en klisje, men NIS2-etterlevelse er et eier-, styre- og topplederansvar. Alle oppgavene kan og bør rollefordeles og delegeres hensiktsmessig, men ikke hovedansvaret. Brudd eller manglende etterlevelse vil kunne straffes med bøter på opptil 10 millioner Euro eller to prosent av selskapets totale omsetning. Bøter kan også rettes mot enkeltpersoner, og i flere land vil loven åpne for at øverste leder kan avsettes.
Ett grunnprinsipp er proakvitet – å forhåndsvurdere risiko, tette hull, fordele oppgaver og roller – og være forberedt på å håndtere sikkerhetshendelser. Virksomheten kan ikke belage seg på å ta tak i disse tingene når hendelsene oppstår, eller at andre skal løse problemene.
NIS2 kan betraktes som et levende vesen som puster og stadig utvikler seg, så etterlevelsen må også være en levende prosess med en adaptiv tilnærming. Lover, krav og retningslinjer vil være i stadig utvikling, og virksomhetene må se på det som en kontinuerlig prosess hvor nye tiltak, rutiner og verktøy vurderes og implementeres fortløpende. Månedlig, ukentlig eller daglig, også avhengig av den enkelte virksomhets natur, utvikling og policy for risikotilpasning.
NIS2 har et «all hazards-perspektiv». Det omfatter ikke bare tradisjonell cybersikkerhet som brannmur-, inntrengnings- og endepunktbeskyttelse, multifaktorautentisering og datakryptering. Men også beskyttelse mot andre relaterte hendelser, som brann, tyveri og oversvømmelser. Det hjelper ikke med den beste, AI-støttede it-sikkerhetsteknologien i datarommet hvis det blir brann der og du mangler brannslukkingsapparat.
En viktig del av etterlevelsen innebærer å gjøre regelmessige, helhetlige risikoanalyser, oppdatere beredskapsplaner som gir tydelige instrukser for hvem som skal gjøre hva og hvordan driften sikres opprettholdt om noe skjer. For eksempel; har vi solid backup for alle kritiske data og systemer, hvor jobber vi hvis bygningen oversvømmes og hvem er stedfortredere for alle dem som har viktige roller i planene?
Virksomheter med en solid NIS2-tilnærming vil også innrette seg etter samarbeidsprinsippet. Det vil si å bidra med sitt i et økosystem av løpende informasjonsdeling og felles innsats mellom myndigheter, regulerende instanser og virksomheter i hvert land – og på tvers av landegrenser i EU og EØS. Eksempelvis vil samarbeidsgruppen EU-CyCLONe støtte strategisk samarbeid og informasjonsdeling mellom medlemsstater, omtrent som en flåte av skip som deler navigasjonstips. Og virksomheter må overholde nye, presise og strenge rapporteringsfrister og informasjonskrav for alle cybersikkerhetshendelser.
Det ligger mye frihet i hvordan virksomheten velger å angripe prosessen, men det er viktig å tenke helhetlig.
Det ligger mye frihet i hvordan virksomheten velger å angripe prosessen, men det er viktig å tenke helhetlig. Eksempelvis kan det være meningsløst å investere i nye sikkerhetsverktøy eller innføre nye rutiner hvis det ikke har en tydelig forankring i risiko- og gapanalysen. Virksomheten må vite hvorfor den gjør det den gjør, og kunne dokumentere det.
Noen vil måtte kjøpe noe, andre ikke. Noen vil trenge hjelp fra tjenesteleverandører, andre ikke. Noen vil ha mye hardt arbeid foran seg – andre ha mye på plass allerede. Men den nye måten å tenke og handle på må til, ansvaret må plasseres og jobben må gjøres – fortløpende.
Alle EU-land vil innlemme disse nye forpliktelsene i sine nasjonale lover og gjøre dem gjeldende fra oktober 2024. Virksomhetene som omfattes vil ha en overgangsperiode etter at direktivet trer i kraft – men kravene kommer, og de som ikke har startet bør komme i gang nå.