NIS2 handler om én eneste ting: Overvåkning. Holistisk, fantastisk dataovervåkning

Det er bare et knapt halvår igjen til fristen for etterlevelse av NIS2 – et EU-regulativ som i bunn og grunn handler om én ting: Nemlig monitorering av dine data. Og det blir fantastisk.

Det er mange virksomheter i Norge som ennå ikke har kontroll på NIS2-direktivet, skriver Petter Glenstrup i Arctic Wolf.
Det er mange virksomheter i Norge som ennå ikke har kontroll på NIS2-direktivet, skriver Petter Glenstrup i Arctic Wolf. Foto: Pressefoto
Petter Glenstrup, nordisk country manager hos Arctic Wolf
2. juni 2024 - 12:05

I gamle dager var EU-politikk noe av det kjedeligste, og med mindre det handlet om graden av bøy på bananene, lagde den sjelden noen overskrifter. Men med GDPR og nå NIS2 har det gamle maskineriet i Brussel sannelig fått all verdens oppmerksomhet. 

For NIS2 – Network and Information Systems 2 – kommer til å ha en merkbar effekt på alle som blir underlagt det nye regulativet. 

Og det blir de fleste av oss. 

Lovgivningen bygger videre på det opprinnelige NIS-direktivet for å beskytte kritisk infrastruktur og viktige digitale tjenester – og alt innimellom – i tillegg til å sikre datastrømmene mellom medlemslandene og virksomheter, og dermed borgerne. 

Alt dette låter kjempeflott, men for den gjennomsnittlige norske virksomhet eller organisasjon handler NIS2 om én eneste ting: 

Har du kontroll på dataene dine – og kan du dokumentere det?

GDPR og NIS2

For de uinnvidde later NIS2 til å handle om det samme som GDPR. Men der GDPR handler om å beskytte den enkelte borgerens digitale vel og vel og rett til personvern, handler NIS2 om å beskytte kritiske nettverk og informasjonssystemer for å beskytte vårt europeiske fellesskap mot cyberangrep. 

NIS2 er en forlengelse av NIS og utvider omfanget av direktivet til å omfatte et bredere spektrum av sektorer, inkludert transport, helse og vannforsyning, i tillegg til de opprinnelige sektorene som energi, finans og digitale tjenester – men også store, private matvareforhandlere er underlagt NIS2. I tillegg kommer et stort antall virksomheter i forsyningskjedene, som nå må leve opp til visse nye krav fordi kundene deres er underlagt NIS2. 

Omstendelig? Ja, du har det travelt om du ikke har begynt ennå – relativt sett. Jeg har jobbet hardt med NIS2 i over to år nå, og jeg opplever at det er mange – ikke bare i Norge – som slett ikke har kontroll på det ennå. Vi er ikke i nærheten av klare, og fra 17. oktober kan bøter bli skrevet ut. 

Det blir hardt, men vi skal nok rekke det. Heldigvis er NIS2, i motsetning til GDPR, svært konkret og stiller klare og presise krav du skal etterleve – og bruker du allerede et sikkerhetsrammeverk som ISO, CIS, CMMK eller NIST, er du på IT- og OT-siden allerede 95 prosent av gårde!

Vi må fortsette å snakke om kunstig intelligens for å sørge for at vi sammen nyanserer debatten og øker kunnskapen om hvordan denne teknologien vil påvirke vårt liv, mener Even Amdal i Samsung Norge.
Les også

Vi trenger et kunnskapsløft om KI

Tre spørsmål

Jeg kommer med en kjapp «kom-i gang-samling» til sist, for med NIS2 må du som virksomhet stille tre spørsmål: 

  • Hvor mye monitorerer jeg dataene og nettverket mitt – og hvordan gjør vi det?
  • Hva overvåker jeg rent faktisk, og hvor mye har jeg egentlig å overvåke?
  • Hva har vi av parate planer, hvis (og når) uhellet er ute?

Det over er en grunnpilar i NIS2. Ved hjelp av den riktige monitoreringen og kartleggingen av virksomhetens nettverk, infrastrukturtrafikk og data, kan man gjennomføre de riktige forebyggende tiltakene og risikovurderingene. Men kanskje viktigst av alt hjelper det å ha kartlagt dine nettverk og data, hvis – eller når – du har et databrudd. 

Rapportering er nemlig en stor del av NIS2 – og i mine øyne også den viktigste delen.

Robert Nordan, løsningsarkitekt i Sopra Steria, skriver i denne kronikken at en spesiell tidsfrist i forbindelse med KI-lovgivningen AI Act, gjør at mange kanskje skynder seg med å lansere produkter med KI-funksjonalitet før fristen.
Les også

AI Act kan gi et rush av halvferdige produkter

Det er ingen skam å dele sine feil

Med NIS2 blir kravene om rapportering etter et cyberangrep skjerpet – og kravet til at du har det fulle overblikket allerede innen 24 timer. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess

Innen de første 24 timene skal du ha varslet om at du er rammet av et angrep, og innen 72 timer skal du presentere for de relevante myndighetene at noe har gått galt, hva som har gått galt, samt kunne påvise omfanget av angrepet. 

Du må også fortelle hvor i kjeden du befinner deg. Altså om du har vært en transportør av angrepet til andre virksomheter eller organisasjoner – eller om du er de IT-kriminelles endelige mål. 

Senest en måned etter må du kunne redegjøre skriftlig for hele hendelsen, med særlig fokus på de økonomiske konsekvensene det kan ha hatt for alle dine samarbeidspartnere, som allerede nå skal være proaktivt informert om hvordan de ligger an, og hvordan det kunne vært unngått. 

Fyttirakkern …

Det høres omstendelig ut, og det er det også, men med de riktige forberedelsene og monitorering av ens infrastruktur og data, er det overkommelig. Og kravet om rask og konsekvent rapportering betyr også at et angrep kan stanses og nye angrep forebygges. 

Jeg har stor respekt for folk som Inger Sethov og Halvor Molland fra Hydro og for Sven Thaulow fra Schibsted, som alle aktivt forteller om angrepene de har opplevd. IT-kriminelle deler allerede angrepsmetoder, kunnskap om sårbarheter og strategier med hverandre. Det samme må vi, og det kommer NIS2 til å hjelpe oss med. 

En kunstig intelligens som får lov til å boltre seg fritt i alle data bedriften har, kommer også med risiko.
Les også

– Alle svakheter blir synlige

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.