DEBATT:

Jesper Olsen, CSO for Nord-Europa, Palo Alto Networks.

NIS2 – økt sikkerhet eller nok en formalitet?

Til høsten treffer NIS2, det andre direktivet for nettverks- og informasjonssikkerhet vedtatt av EU, med full kraft. Men er det nok et kryss i regelboken, eller er det starten på et langt sikrere Europa?

Det nye nettverks- og sikkerhetsdirektivet er kanskje den mest betydningsfulle sikkerhetsreguleringen som noen gang er innført i Europa. Mens NIS1 berørte 3 000 enheter, institusjoner og bedrifter, berører NIS2 30 000. I tillegg er konsekvensene for bedrifter som ikke oppfyller standardene langt større. Som for eksempel store bøter og personlig ansvar hos ledelsen og styret.

Men hvilken effekt vil egentlig NIS2 ha for den europeiske cybersikkerheten? Vi vil se en bølge av sikkerhetsinvesteringer eller vil streng regulering kvele innovasjonen og tvinge bedrifter til å stadig innhente det tapte? Jeg håper og tror på det første alternativet.

Det er utvilsomt et ubestridelig behov for NIS2. En fersk undersøkelse gjennomført av Palo Alto Networks, viser at kun 28 prosent av sikkerhetsansvarlige jevnlig tester sine beredskapsplaner. Det i en tid hvor trussellandskapet utvikler seg raskt. Mye takket være generativ kunstig intelligens. For eksempel observerte vår interne cybersikkerhetsenhet Unit42 nylig en hendelse der ondsinnede aktører hentet ut 2,5 terabyte med data på bare 14 timer. En hastighet vi aldri før har sett.

Med NIS2 håper Europakommisjonen at reguleringen vil føre til en felles front mot angrep, der cyberresiliens blir en integrert del av organisasjonskulturen. Kritikere mener derimot at NIS2 er en overregulering. Strenge reguleringer og mulige sanksjoner ved manglende overholdelse kan gjøre organisasjoner og bedrifter forsiktige og konservative i sin tilnærming til sikkerhet. Noe som er farlig i et komplekst trusselbilde.

I praksis kan det betyr at bedrifter velger å holde seg til teknologiske løsninger som oppfyller kravene, men som på sikt ikke møter de nye utfordringene og forretningsbehovene. Heldigvis oppfordrer NIS2-direktivet at bedrifter integrerer sikkerhetsforbedrende teknologi som kunstig intelligens og maskinlæringssystemer for å forbedre kapasiteten og sikkerheten i nettverks- og informasjonssystemer.

Det er flere måter NIS2 kan fremme innovasjon i sikkerhetssektoren. For det første vil det skape et større marked for sikkerhetsløsninger og sikkerhetstjenester. Økningen i etterspørselen kan fungere som en sterk katalysator for transformasjon ettersom bedrifter konkurrerer om å utvikle løsninger som møter de nye behovene.

Det vil også gjøre det nødvendig å ta i bruk ny sikkerhetsteknologi og etablere nye praksiser. Som avansert trusseldeteksjon og hendelsesrespons. For eksempel vil forbedrede plattformer for hendelsesrespons, der automatisering og KI er integrert, sikre at handlinger er i tråd med beste praksis. Kunstig intelligens kan også levere sikkerhetstjenester som filtrering og trusselforebygging for å hindre sofistikerte webbaserte trusler, nulldagstrusler, unnvikende kommando- og kontrollangrep og DNA-angrep.

Ikke minst til NIS2 fremme samarbeid mellom bedrifter og organisasjoner. Hvilket er viktig for innovasjon, kunnskap og ny teknologi. Jeg er optimistisk med tanke på det nye direktivet og konsekvensene. Det vil føre til et sikrere Europa, et tryggere næringsliv, sikrere samfunn og en ny innovasjonsbølge.