_logo.svg.png){kind=logo}
NIS2 endrer spillereglene: Ta styring før myndighetene griper inn
NIS2-direktivet flytter ansvaret for IT-sikkerhet fra serverrommet til styrerommet. Toppledelsen blir personlig ansvarlig for virksomhetens evne til å håndtere risiko – og tilsyn kan komme uten forvarsel.
I en tid preget av økende geopolitisk usikkerhet og der det meste av samarbeid og kommunikasjon foregår digitalt, stilles det nå strengere krav til styring, kontroll og oversikt enn noen gang før. EUs nye NIS2-direktiv treffer også norske virksomheter hardt, når det blir en del av det norske lovverket. Da er det viktig å være forberedt.
Sikkerhetsekspert Charlotte Hovring i Cisco er tydelig på at NIS2 må forstås som et paradigmeskifte i måten virksomheter håndterer risiko på.
– Vi snakker ikke lenger om IT-sikkerhet som en avdeling i kjelleren. Vi snakker om forretningskritisk styring av risiko, sier hun.
Mens det tidligere var vanlig at sikkerhetsansvaret lå hos IT-avdelingen, sikkerhetsansvarlig eller driftssjef, flytter innføringen av NIS2 dette ansvaret opp til toppledelse og styre. Både daglig leder og styret blir personlig ansvarlige for at virksomheten etterlever kravene i det nye direktivet. Denne utviklingen innebærer at alle virksomheter må tenke nytt om hvordan sikkerhet organiseres og følges opp.
NIS2-direktivet: Hva betyr det for deg?
NIS2 er en oppdatering av det opprinnelige NIS-direktivet (Network and Information Security Directive) fra 2016. Det er EUs mest omfattende regelverk for digital sikkerhet til dags dato, og målet er å sikre et jevnt og tilstrekkelig sikkerhetsnivå på tvers av medlemsland og sektorer, for både private og offentlige virksomheter.
NIS2 ble innført i alle EU-land i oktober 2024, og det er forventet at det norske regelverket vil oppdateres så snart som mulig. Allerede i dag er mange norske virksomheter som leverer til EU-land omfattet av regelverket.
Dette er de viktigste kravene i NIS2:
- God kontroll på beredskap, risikovurdering og hendelseshåndtering
- Tydelige regler for ansatte og god opplæring til ledelsen
- God kontroll på kryptering og tilgangsstyring
- Plikt til å rapportere alvorlige hendelser innen 24 timer
- Kontroll på sikkerheten i hele verdikjeden, ikke bare i egen organisasjon
- Måle effekt av sikkerhetstiltak og justere det som ikke fungerer
- Alltid kunne dokumentere hva du gjør og hvordan du tenker rundt sikkerhet
Manglende samsvar med NIS2 kan medføre bøter, stans av drift, ordre om retting eller pålegg om bedre opplæring for ledelsen. Med NIS2 får styret og daglig leder et særskilt ansvar for å etterleve kravene.
På sikt vil de aller fleste norske virksomheter omfattes av direktivet, enten direkte – eller indirekte gjennom verdikjeden.
I første omgang har EU som mål å sikre kritisk infrastruktur innen energi, transport, vann- og matforsyning, romfart, helsevesen, offentlig administrasjon, digitale tjenester og finanssektoren.
– De fleste norske virksomheter omfattes av det nye regelverket, enten direkte eller indirekte. Men mange har fortsatt ikke tatt innover seg at dette ansvaret ikke kan dyttes videre. Du kan sette ut oppgaver, men ikke ansvar. Styret og daglig leder eier risikoen, understreker Hovring.
Kompleksitet skaper risiko
– Jo mer kompleksitet, jo mer risiko tar du.
Charlotte Hovring, sikkerhetsekspert i Cisco
I praksis er det ikke bare ansvarsfordelingen som blir utfordrende for mange ledere.
De siste årene har mange virksomheter bygget opp IT-miljøer med ulike sikkerhetsløsninger fra forskjellige leverandører – ofte anskaffet for å beskytte enkeltområder. Dette gir økt kompleksitet, fordi løsningene i liten grad er koblet sammen og ikke gir et samlet risikobilde.
Et typisk eksempel er virksomheter som har én løsning for e-postsikkerhet, en annen for mobilbeskyttelse og separate innloggingssystemer for ulike forretningsapplikasjoner. Når sikkerheten styres i ulike spor, blir det vanskelig for ledelsen å få oversikt – og desto mer krevende å vurdere og rapportere risiko på en helhetlig måte.
– Har du for mange ulike systemer og leverandører blir det veldig vanskelig å få overblikket du trenger for å rapportere på risiko. Jo mer kompleksitet, jo mer risiko tar du, sier Hovring.
Du må redusere antall ansvarsområder
Ciscos filosofi er derfor bygget rundt ideen om å samle flere sikkerhetsfunksjoner i en integrert løsning. I stedet for å ha separate løsninger for hvert enkelt område, bør du sørge for at datasenter, nettverk, samarbeidsløsninger og sikkerhet henger sammen.
– Det handler ikke nødvendigvis om å ha færre leverandører eller samarbeidspartnere, men om å redusere antall ansvarsområder. Når ansvaret for IT-sikkerheten er fordelt på mange ulike ansatte, øker risikoen for at ledelsen mister oversikt og styring. Med en helhetlig sikkerhetsplattform får ledelsen et samlet risikobilde, forklarer Hovring.
Dette gjør det enklere å få oversikt, og gir et bedre grunnlag for å vurdere risiko og håndtere hendelser – helt i tråd med de nye kravene i NIS2.
– Vi ser at jo mer helhetlig virksomheten tenker og opererer, desto enklere blir det å oppfylle kravene til oversikt, dokumentasjon og kontinuerlig forbedring, sier Hovring.
En ny type kontroll fra myndighetene
En av de mest krevende endringene som kommer med NIS2 er at tilsynsmyndighetene kan gjennomføre proaktive kontroller. Du trenger ikke lenger ha opplevd et sikkerhetsbrudd for å bli kontrollert. Finner tilsynsmyndighetene mangler i dine rutiner, kan det i seg selv medføre sanksjoner.
– Vi snakker om bøter, pålegg om retting, tvangsmulkt, offentlig kritikk, suspensjon av tjenester, strengere tilsyn og i verste fall strafferettslig ansvar. Dette er en helt ny virkelighet for norske ledere, sier Hovring.
Desto viktigere er det at du kommer i gang med NIS2-arbeidet tidlig. Å vente til kravene trer formelt i kraft kan bli både dyrt og krevende.
Slik kommer du i gang: Fra kartlegging til forbedring
Sammen med Cisco har Atea utviklet en metodikk for å hjelpe ledere i arbeidet med NIS2. Første steg handler om å få oversikt. Hovring forklarer at ledelsen bør etablere en arbeidsgruppe som setter seg inn i direktivet, analyserer hvilke krav som gjelder egen virksomhet og kartlegger dagens situasjon.
Strategisk rådgiver Tor Geir Rosseid i Atea utdyper:
– Vi starter ofte med en modenhetsanalyse basert på Nasjonal sikkerhetsmyndighet sine grunnprinsipper. De dekker cirka 90 prosent av det NIS2 krever. Resten handler om lederansvaret: At ledergruppen må eie og forankre risikostyringen.
– Videre bør du gjennomføre en grundig analyse av nåsituasjonen og utarbeide en handlingsplan for hvordan du skal lukke eventuelle avvik. Her er det viktig at toppledelsen involveres aktivt i prosessen, sier Rosseid.
– De fleste norske virksomheter omfattes av det nye regelverket, enten direkte eller indirekte.
Charlotte Hovring, sikkerhetsekspert i Cisco
Du har ansvar for dine leverandører
Det som er spesielt med NIS2-direktivet er hvordan ansvaret forplanter seg gjennom hele verdikjeden. I det forrige EU-direktivet var det i hovedsak din egen infrastruktur som var regulert, men med NIS2 må du også ta ansvar for hvordan leverandører, underleverandører og deres leverandører igjen håndterer risiko.
– Det er ikke lenger nok å ha kontroll på eget hus. Du må ta ansvar for hele verdikjeden din. Du må vite at dine leverandører oppfyller kravene i NIS2. Gjør de ikke det, er heller ikke du i samsvar, sier Hovring.
Her er samarbeidet mellom Cisco og Atea en sterk kombinasjon. Gjennom felles rammeverk, modenhetsvurderinger og leverandøranalyser får du hjelp med å evaluere sikkerheten – også hos partnerne og leverandørene dine.
Fallgruvene: Hva gjør du feil?
Gjennom arbeidet med norske kunder har Cisco og Atea identifisert flere typiske feil ledere gjør i møte med NIS2. Mange mangler grunnleggende forståelse av direktivet og undervurderer ressursbehovet som kreves for å kartlegge og lukke avvik. Det er også vanlig at rollene er uklare, og at ansvar skyves nedover i organisasjonen – noe NIS2 eksplisitt forbyr.
Og kanskje viktigst av alt: Mange utsetter arbeidet, i håp om at kravene ligger lenger frem i tid.
Hovring understreker samtidig at sikkerhet også handler om organisasjonskultur:
– Opplæring, bevisstgjøring og kultur er avgjørende. Dette handler ikke bare om teknologi, men om hvordan hele organisasjonen jobber med risiko i hverdagen.
