DEBATT:
NIS2 kommer til å dele it-leverandørene i et A- og B-lag
«Made in Europe» får en helt ny betydning når den kommende dataforordningen, NIS2, trer i kraft til høsten. For med NIS2 vil det bli stilt helt nye krav til norske virksomheters dokumentasjon av sine it-leverandørers håndtering av dine data – men det finnes en snarvei, skriver Torben Clemmensen.
Når nye EU-regler kommer i overskriftene, handler det ofte om banaliteter som mengden av kanel i skillingsbollene våre eller dødsdommer over våre elskede lakrispiper – og ikke så mye om de hundrevis av andre, ofte helt nødvendige, reglementene som faktisk kommer fra Strasbourg.
Likevel har NIS2 sendt kuldegysninger gjennom hele Europa hos alle oss som jobber med data. Det kommende databehandlingsregulativet dikterer hvordan virksomheter underlagt NIS2 og offentlige organer skal sikre, dokumentere og validere sikker datatrafikk og oppetid – også på tvers av alle sine leverandører.
De skal altså – hvis de for eksempel bruker amerikanske it-sikkerhetsplatformer – stå til regnskap for sin databehandling og kunne dokumentere sin forskriftsmessige håndtering av følsomme data. Det høres ut som et prosedyrespørsmål, men etterlever man ikke reglementet – eller opplever man et klart NIS2-brudd, ja da blir de økonomiske og virksomhetsmessige sanksjonene strenge.
Heldigvis finnes det en snarvei til etterlevelse av reglene, for med NIS2 blir it-sikkerhetsselskapene delt opp i et A- og et B-lag. Ved å satse pengene dine på den rette hesten kan du drastisk redusere arbeidsbyrden du og din virksomhet må håndtere.
Hvor er hunden begravd?
Ved å satse pengene dine på den rette hesten kan du drastisk redusere arbeidsbyrden du og din virksomhet må håndtere.
NIS2 er en nødvendig forordning og en forlengelse av det eksisterende NIS-regulativet (Network & Information Security), som blant annet gav oss den viktige ISO27001-standarden. Der GDPR stiller krav til hvordan personsensitive data behandles, så stiller NIS2 kort fortalt krav til hvordan personsensitive data transporteres. Det handler om å styre sikkerhetsrisikoene i sine nettverks- og informasjonssystemer, som NIS2 selv formulerer det.
I utgangspunktet er det offentlige instanser, organisasjoner og virksomheter som defineres som kritisk infrastruktur – altså virksomheter som leverer så avgjørende tjenester til samfunnet at vi ikke kan klare oss uten. Det omfatter teleoperatørene, store matvarekjeder og den farmasøytiske industrien – som alle er underlagt NIS2.
Men det stopper ikke der. For er du for eksempel en europeisk it-sikkerhetstilbyder til en av virksomhetene nevnt over, så må du etterleve det samme regelverket. Omvendt kan du også regne med at europeiske virksomheter som du samarbeider med, og som må overholde NIS2, også gjør det – og dermed har de en stor del av ansvaret for at NIS2 overholdes – og du kan både spare energi og slappe litt mer av.
Problematikken oppstår imidlertid når du jobber sammen med ikke-europeiske virksomheter, for når de ikke må etterleve det samme reglementet, så blir du som virksomhet holdt ansvarlig.
«Made in Europe – stays in Europe»
EU-lovgivningen gjelder naturligvis kun for EU-virksomheter, og derfor må heller ikke amerikanske virksomheter være ansvarlige i forhold til det nye reglementet. Mange vil nok i større eller mindre grad forsøke å implementere reglene for å gjøre det lettere for EU-virksomheter og -land å gjøre forretninger med dem, men til syvende og sist er det du som er ansvarlig.
Du må som virksomhet være ansvarlig for og kunne dokumentere følgende med tanke på it-sikkerhetsleverandøren din:
- Du må kunne dokumentere hvordan løsningen er designet og utviklet.
- At virksomheten overholder NIS2.
- At virksomheten overholder GDPR.
- ISO, PSSI, PQS, PAS samt selskapets kontraktsstyring.
- Grundig, upartisk gjennomgang og validering av selskapets dokumentasjon.
- Historisk hendelsesdokumentasjon til EISA og Datatilsynet.
- At virksomheten ikke bruker metadata fra din virksomhet.
Alt dette må du som virksomhet kunne dokumentere – altså med mindre de er europeiske. For er it-sikkerhetsselskapet europeisk, så må de kunne dokumentere og gjøre rede for alt ovenstående – og viktigst av alt er det it-sikkerhetsselskapet som sitter med ansvaret, slik at du kan fokusere på resten: Opplæring av medarbeiderne, driftskontinuitet og risikoanalyse, bare for å nevne noe.
Men det betyr også at det blir et A- og et B-lag, når det kommer til it-sikkerhetsleverandørene. For mens de helt store, men ikke-europeiske sikkerhetsleverandørene absolutt leverer glimrende løsninger for å beskytte virksomheten din, så står du der med ansvaret for deres datahåndtering – motsatt hvis du velger en av de mange europeiske leverandørene, ja da blir det litt mindre EU-politikk å holde styr på.