LEDER:
Problemet med at EU stiller krav om it-sikkerhet
Helt plutselig må norske virksomheter sette it-sikkerhet på dagsorden for å tilfredsstille krav som kommer fra EU. Men er bøter, eller risiko for utestengelse fra markeder det virkelige problemet?
NIS-2 er det mye omtalte sikkerhetsdirektivet som er på vei fra EU. Europeiske virksomheter må innfri krav til it-sikkerhet for å ta del i europeiske verdikjeder. Leverer man kritiske tjenester, risikerer man bøter. Norge, som EØS-land, vil bli berørt på linje med EU-nasjoner.
Denne uka gikk Sikkerhetsdagen av stabelen, midt i sikkerhetsmåneden. En måned som startet med at Nasjonal Kommunikasjonsmyndighet (NKOM) ga ut en risiko- og sårbarhetsanalyse. Der uttrykker de bekymring for sårbarheter og konsekvensene av et utfall av digital kommunikasjon i Norge.
Sannheten er at vi har blitt helt avhengige av det digitale. I samfunnet, på jobben og i privatlivet. Kutter man kommunikasjonen lammes alt og alle påvirkes. Ingen moderne virksomhet er i stand til å fungere hvis informasjonen eller systemene har blitt låst ned av kriminelle. Prøv å legg bort mobilen og skru av internett en uke, og føl hva det digitale betyr på privaten.
Kort sagt: Det digitale representerer en enorm verdi, i alle fasetter av vår moderne tilværelse. Hadde det vært snakk om fysiske verdier: penger, smykker, verdipapirer eller lignende, ville vi aldri latt dem flyte rundt bak ulåste dører. Var verdien høy nok, hadde vi alltid hatt kontroll på dem.
Der samme er ikke tilfelle med digitale verdier. Ikke bare i Norge, men på verdensbasis, kunne de fleste vellykkede cyberangrep vært unngått, dersom all programvare var oppdatert til enhver tid. De kriminelle skanner bredt, men angriper der de finner åpne dører. Så hvis norske virksomheter hadde fulgt grunnprinsippene til NSM ville mesteparten av vellykkede angrep skjedd utenfor våre grenser.
Tristessen er at det må et EU-direktiv til for at norske virksomheter skal ta it-sikkerhet på alvor.
Men sånn er det ikke. Vi sikrer ikke systemene våre før vi blir bedt om det. De fleste innleggene på Sikkerhetsdagen handlet om å komme i gang: Forstå sårbarheter og risiko i ledergruppa. Få oversikt over systemer og avhengigheter. Dokumenter og etabler rutiner. Start å trene. Veien til å innfri kravene som kommer fra EU synes lang.
Det triste med NIS2 er ikke at norske virksomheter risikerer bøter eller utestengelse fra markeder fordi de ikke har god nok it-sikkerhet. Tristessen er at det må et EU-direktiv til for at norske virksomheter skal ta it-sikkerhet på alvor.
I vår digitale tidsalder burde det vært omvendt. Innføring av NIS2 burde vært en avstemmingsjobb mot rutiner og prosesser som var på plass for lengst. Kanskje man måtte ha gjort noen tilpasninger. For selvfølgelig var verdiene sikret.
Sånn er det dessverre ikke. Det er grunnen til at sikkerhetsbransjen i 2024 fremdeles må mate ledelsen i norske selskaper med teskje for at de ta it-sikkerhet på alvor. Det er det virkelige problemet med sikkerhetsdirektiver fra EU.
