DEBATT:
Hva var det jeg sa?
Det nye cybersikkerhetsdirektivet NIS2 krever konkrete tiltak for å styrke virksomhetenes motstandsdyktighet mot digitale angrep.
Det er ingen jeg kjenner som liker å få høre «hva var det jeg sa», etter at de har fått velmenende råd, overhørt disse og gått fem på. Enten det er ungene som ikke tisset før vi la ut på langtur, eller venner og kjente som ikke benytter to-faktor og får sosial medier-kontoen stjålet av nettkriminelle.
Vegrer seg for å lytte
Dessverre gjelder dette også beslutningstakere i næringslivet. Der vi i den kommersielle it-sikkerhetsbransjen de siste 20 årene, har forsøkt å selge inn løsninger som skal hjelpe bedriftene å bli mer motstandsdyktig mot digitale angripere. Og det er kanskje salgsfaktoren som har gjort at mange vegrer seg for å lytte til fagekspertene.
Ja, sikkerhet koster penger. Og ja, det er en kommersiell bransje i Norge bestående av nesten 1000 mennesker, som bidrar med sitt for å gjøre Norge til et tryggere digitalt sted å være – derav slagordet #SammenSikrerViNorge
Med hånden på sikkerhetsloven
Men nå blir det nye cybersikkerhetsdirektivet NIS2 innført i EU fra 18. oktober. Med dette kommer det helt konkrete pålegg til hvilke tiltak virksomhetene må ha på plass.
Det er ikke noe nytt eller ukjent som følger med NIS2. Alle disse tiltakene er noe vi har foreslått for norske virksomheter i en årrekke. Det som er nytt er at vi med fare for å si «hva var det vi sa», med hånden på NIS2, og den kommende sikkerhetsloven, faktisk kan vise til konkrete punkter og si at dette er et avvik.
En konkurransefordel
Jeg skal selvfølgelig ikke dra alle virksomhetsledere over en kam. Det er langt fra alle som utviser motvilje mot å investere i egen it-sikkerhet. De som har skjønt at det å ha tingene på stell ikke er en utgift, men en konkurransefordel. Noe som kommer enda sterkere frem nå, da virksomheter må fremlegge hvordan sikkerheten er ivaretatt i anbudsforespørsler, så beslutningstakerne kan velge å samarbeide med leverandører som følger med i timen.
Ikke kjøp alt
Men for all del, ikke kjøp alt noen foreslår for dere. Start reisen med å utføre en analyse som avdekker hvor motstandsdyktig din virksomhet er. Både innenfor det organisatoriske og det tekniske aspekt. Få på plass en liste over hva som er på plass, og hva dere trenger framover. Det finnes gode løsninger som kontinuerlig måler virksomhetens modenhet i tråd med gjeldende trusselbilde, og det er en enkel jobb å ta ut gode rapporter til enhver som ønsker å se din virksomhet i kortene.
It-sikkerhetsbransjen lever av ryktet sitt, på lik linje som advokater og revisorer.
Selv om det er mange selverklærte sikkerhetsprofeter som ønsker hjelpe din virksomhet med alt, er det lurt å gjøre en grundig vurdering. It-sikkerhetsbransjen lever av ryktet sitt, på lik linje som advokater og revisorer. Mister vi tillitten er det Darwins lov som gjelder – vinn eller forsvinn.
Dagens appell fra meg
Se på NIS2 og det nye cybersikkerhetsdirektivet som et bevis på at du nå må gjøre investeringer, gjør det profesjonelt for å øke egen motstandsdyktighet og ikke bare for å tikke av i boksen og dokumenter at det gjøres. Skaff deg gode rapporter på hva dere har gjort, og hvordan din virksomhet har tatt grep og er en sikker samarbeidspartner.
La oss si at du skal velge mellom to relativt like biler til familien. Da ville du ikke bare vurdert prisen, om den ene hadde alt av servicehistorikk mens den andre ikke kunne fremvise hverken EU-kontroll eller servicehistorikk.
//TT