.jpg)
Lov om digital sikkerhet trådte i kraft 1. oktober.
Vi trenger en felles grunnplanke for digital sikkerhet. Norske virksomheter opplever hver dag forsøk på digitale angrep. Risikoen for alvorlige hendelser øker i takt med den globale sikkerhetssituasjonen og den teknologiske utviklingen.
Det gjøres mye godt arbeid både i virksomheter og hos myndighetene for å møte denne trusselen, men det mangler en helhetlig og sektorovergripende regulering som er harmonisert med resten av Europa.
De mest kritiske løsningene for nasjonal sikkerhet er underlagt sikkerhetsloven fra 2019, men de andre digitale tjenestene som holder samfunnet i gang må også beskyttes. Slike krav er delvis satt gjennom sprikende sektorvise regelverk. Sikkerhetstiltak må være samordnet mellom virksomheter for å ha god effekt. De som truer oss leter alltid etter det svakeste leddet – og finner det.
Bygger på NIS-direktivet
Lov om digital sikkerhet, som trådte i kraft 1. oktober, bygger på NIS-direktivet fra EU. Målet med direktivet er å sikre et felles minimumsnivå for sikkerhet i nettverk og informasjonssystemer som understøtter samfunnsviktige tjenester. Direktivet skal også harmonisere beskyttelsen på tvers av landegrenser. Den nye norske loven stiller konkrete krav til virksomheter om å gjennomføre og dokumentere risikovurderinger og iverksette tekniske og organisatoriske sikkerhetstiltak. Det kreves også at alvorlige hendelser må varsles innen 24 timer. De færreste virksomheter har alt dette på plass allerede og det haster derfor å gjøre seg klar til den nye loven.
En tyngre ansvarsbyrde legges nå på ledere i bedriftene. Toppledelse skal sikre et forsvarlig nivå av digital sikkerhet. For mange som så langt har delegert dette til IT-avdelingen alene kreves en endring.
Et steg i riktig retning
Selv om digitalsikkerhetsloven er et steg i riktig retning, er den imidlertid utdatert allerede før den har trådt i kraft. Landene i EU har begynt å forholde seg til NIS2-direktivet, som er etterfølgeren til direktivet digitalsikkerhetsloven bygger på. NIS2-direktivet vil gjelde for flere virksomheter, ettersom virkeområdet er utvidet til å gjelde for flere sektorer, og det stilles strengere krav.
Denne forskjellen er viktig å være bevisst på for virksomheter som opererer internasjonalt. Mange norske bedrifter må være våkne og klare for loven som trer i kraft nå i oktober, men enda flere må forberede seg på NIS2. Dette arbeidet må starte nå.
Felles europeiske krav til myndighetene
En annen viktig og ofte underkommunisert del av loven er at den setter felles europeiske krav ikke bare til bedriftene, men også til myndighetene. Dette er oppgaver som delvis gjennomføres i dag, men som nå blir tydeliggjort. Et av områdene som formaliseres er krav til et nasjonalt responsmiljø med oversikt og evne til å bistå ved hendelser. Et annet er lovens krav til informasjonsdeling på tvers av europeiske land. Dette er godt nytt for norsk næringsliv. Et sterkt og samlet myndighetsapparat på tvers av ulike land er nødvendig for vår felles sikkerhet.
Effektivitet krever at regelverkene harmoniseres
En betingelse for at de nye regelverkene skal få ønsket effekt er at innføringen følges opp med harmonisering og forenkling av eksisterende og nye regelverk. Hvor effektiv loven blir, avhenger av om man klarer å unngå unødvendig administrasjon og ineffektive sikringskrav. Mange virksomheter som opererer internasjonalt, har allerede oppdaget at NIS2 i praksis er gjennomført med noe variasjon fra land til land. Det kreves også nasjonalt en innsats for å unngå at nye regelverk som innføres i praksis blir overlappende med de eksisterende og vi ender opp med doble eller motstridende krav. Sikring med både belte og bukseseler gir ikke nødvendigvis bedre effekt og vil kunne bremse verdiskapningen i samfunnet.
Kun ett konsulenthus til har skaffet godkjenning: – Flere kunder krever det
