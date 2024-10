Det burde ikke være trusselen om straff som motiverer norsk næringsliv til å ta nødvendige forholdsregler på cybersikkerhetsområdet, men ønsket om å sikre virksomheten, de ansatte og samfunnet, når tjenestene og løsningene som leveres er kritiske for nasjonen Norge. Og selvfølgelig er ikke situasjonen lik for alle. Det gjøres mye godt arbeid – men enda mer kunne blitt gjort, hvis norske virksomheter lar være å vente på myndighetene og ikke ser på EUs regler som juridiske pålegg, men som en mulighet til å bli en bedre, tryggere og mer lønnsom virksomhet.

Oktober er høysesong for digital sikkerhet, ikke bare i Norge, der vi er i gang med Sikkerhetsmåneden, men også i EU. NIS2-direktivet, som erstatter NIS1, trer i kraft, med skjerpede krav om cybersikkerhetsrutiner og -forsvar innen sektorer som energi, helse, transport og finans, offentlige tjenester, romfart, næringsmiddelindustri og digital infrastruktur. Parallelt jobber bank og finans med å tilpasse seg Dora-reglene (Digital Operational Resilience Act) som skal gjelde fra midten av januar 2025. Diskusjonen rundt AI Act og hvordan denne skal implementeres, pågår også for fullt, der sikkerhetsaspektet innenfor personvern og autonomi er vesentlige områder som er nødvendig å regulere.

Her i Norge – landet som skal være det beste i verden på digitalisering, og som troner på toppen av OECDs digitaliseringsindeks – oppleves ikke etterlevelse av nye reguleringer fullt så prekært. NIS1, som i Norge blir implementert med Digitalsikkerhetsloven, trer i kraft «en gang i løpet av 2024». Når den begynner å virke her hjemme, åtte år etter at direktivet ble vedtatt i EU, er den allerede erstattet av NIS2 i andre land i Europa. Det prøver vi å bøte på med Digitalsikkerhetsforskriften, som skal bli en del av Digitalsikkerhetsloven, og som tar inn deler av NIS2. Foreløpig er forskriften på høring, mens Dora, som er en forordning, må tre i kraft i EU før den kan skrives inn i EØS-avtalen.

Norge ligger etter

I Nordic Cyber Resilience Report, tar vi temperaturen på offentlige og private virksomheter i Norge, Sverige og Finland og kartlegger forhold knyttet til hvor forberedte ansatte og organisasjonen er på et cyberangrep, i hvilken grad de investerer i sin egen sikkerhet, hvordan de samarbeider for å forsvare seg og hvem som har ansvar for planer og tiltak.

Seks av ti respondenter i undersøkelsen forteller at virksomheten de jobber for har opplevd alvorlige cyberangrep det siste året. Samtidig sier tre av ti at virksomheten mangler en plan for hvordan håndtere et mulig angrep. Det betyr i praksis at de heller ikke er forberedt på de nye lovene og reglene som EU enten har vedtatt eller varslet, ettersom mange av disse handler om nettopp å være forberedt, og å ha planer for hvordan man håndterer og rapportere angrep på samfunnskritisk IKT-infrastruktur og løsninger.

Norske virksomheter holder med andre ord følge med myndighetene og avventer lovendringer og regulatoriske pålegg. Og det på et område der det egentlig ikke finnes noen grunner til å utsette tilpasningen, hverken til NIS1, 2 eller Dora, ettersom regelverket vil ha en positiv effekt både på beredskapen og på måten norske virksomheter håndterer cyberangrep på. Der en del EU-regler oppleves som byråkratisk «red tape» og unødvendige, er disse i stedet et viktig bidrag til bedre praksis og et nødvendig press på myndighetene, som bruker alt for lang tid på å innføre forskrifter og forordninger i norsk lov.

Flat utfordring

At norske virksomheter ikke er forberedt, er i seg selv en bekymring. En annen utfordring, som jeg opplever i dialog med kunder og markedet, er at heller ikke ledelsen eller styret har tatt inn over seg de nye reglene. Og i den grad de har det, er ofte ansvaret for å definere nødvendige tiltak, skjøvet nedover i linjen. Årsakene til dette er sammensatt, men jeg mener at en av dem rett og slett er måten vi har organisert oss på og hvordan ledelse utøves i norske virksomheter. Vi er stolte over at vi praktiserer en flat struktur der mye ansvar forvaltes på mellomledernivå og i spesialistroller rundt om i organisasjonen. Det jeg ser litt for ofte, er at ansvar ikke alltid kommer med myndighet. De ansatte som får oppgaver knyttet til sikkerhet, mangler det handlingsrommet de trenger for å gjennomføre de nødvendige tiltakene. Og samtidig sitter ledelsen og styret og tenker at dette blir ivaretatt av fagpersonene i virksomheten.

Uten tydelige, lovpålagte krav til forebygging, planer og rapportering, smuldrer ansvaret og læringseffekten opp i kjølvannet av alvorlige hendelser som egentlig burde vært en vekker, både for ledelsen og styret. Og når Digitalsikkerhetsloven, med forskriften, og Dora blir en realitet også i Norge, kommer noen til å få seg en overraskelse. Som advokat Ove A. Vanebo i CMS Kluge Advokatfirma skrev i et innlegg i Digi tidligere i år, «Riset bak speilet kan bli både pålegg, tvangsmulkt og overtredelsesgebyrer». Og ikke bare for virksomheten, men for styret og ledelsen og andre som opptrer på vegne av selskapet.