_logo.svg.png){kind=logo}
Sikkerhet i skyen: Enklere, tryggere og alltid oppdatert
Slik kan en skybasert sikkerhetsløsning gjøre det lettere for deg å møte kravene i NIS2-direktivet.
Selv virksomheter som har investert i god sikkerhet, opplever alvorlige hendelser. Ikke fordi teknologien mangler – men fordi den brukes feil, ikke er riktig konfigurert eller har blitt svekket av tilleggsløsninger på siden.
I 85 prosent av tilfellene handler sikkerhetsbrudd om menneskelige valg, feil bruk og oppsett eller manglende oppfølging. Og det er nettopp dette NIS2-direktivet forsøker å gjøre noe med.
– I mange tilfeller har virksomhetene gode løsninger på plass, men så skjer det noe på utsiden, som at noen bestiller et kamera eller overvåkningsverktøy til et prosjekt, og det kobles til utenfor det etablerte systemet. Det er slik risikoen sniker seg inn, sier Lars Eidsten, sikkerhetsekspert i Fortinet.
Ifølge Eidsten er løsningen for mange virksomheter enkel: Flytt sikkerheten dit den er mest effektiv – nemlig til skyen.
Hva er SASE – og hvorfor er det relevant nå?
SASE står for Secure Access Service Edge, og er i praksis en metode for å samle alle sikkerhetsfunksjonene dine på et sted, levert fra skyen. Der du tidligere kjøpte brannmur, trafikkontroll, overvåking og databeskyttelse som separate produkter – alle med hvert sitt grensesnitt og vedlikeholdsbehov – leverer en SASE-plattform alt dette som en helhetlig og oppdatert tjeneste.
– Det handler om å konsumere sikkerhet på samme måte som vi konsumerer serverkapasitet eller programvare; som en tjeneste, forteller Eidsten.
I stedet for å kjøpe og drifte fysiske bokser, som eldes og må oppgraderes, abonnerer du på sikkerhet – per ansatt, per måned. Alt vedlikehold, alle oppdateringer og beste praksis er ivaretatt av leverandøren. Du vet at det fungerer, og at det dokumenteres.
En enklere vei til NIS2-samsvar
.jpg)
Der mange virksomheter nå bruker tid på å kartlegge hvilke sikkerhetsfunksjoner de har, og dokumentere hvordan de brukes, snur SASE dette perspektivet på hodet.
– Når du konsumerer sikkerhet som en tjeneste, kan du også dokumentere sikkerhet som en tjeneste. Du har et system hvor alt er konfigurert etter beste praksis, og du kan vise det i sanntid, sier Eidsten.
Dette løser en av utfordringene flest virksomheter vil møte på ved innføringen av NIS2. Nemlig kravet til at du hele tiden må kunne dokumentere hva du gjør og hvordan du tenker i sikkerhetsarbeidet.
Fortinets SASE-løsning har allerede vært gjennom flere samsvarsvurderinger knyttet til NIS2, og erfaringene er gode: Fordi Fortinet bygger egne datasentre og egne skytjenester, unngår de mange av utfordringene som oppstår når sikkerhetslagene legges på toppen av andres skyløsninger.
– Mange skybaserte sikkerhetsplattformer er bygget på tredjepartsinfrastruktur – med amerikanske kontrakter og uklar ansvarsdeling. Vi bygger våre egne og har kontroll hele veien. Det gjør det enklere å sikre, og enklere å dokumentere i samsvar med kravene i NIS2, sier han.
Ikke en magisk løsning på alt
SASE er særlig relevant for deg som har begrensede ressurser, men samtidig må oppfylle krav fra større kunder eller offentlige samarbeidspartnere.
– I disse verdikjedene vil det komme krav om dokumentert sikkerhet. Med en god SASE-løsning kan du raskt få på plass både teknologi og dokumentasjon, uten å måtte bygge alt selv. Det er ikke en magisk løsning på alt, men det er så tett på som det kommer, sier Eidsten.
En SASE-modell gir også fleksibilitet: Har du lokale systemer, som skrivere, kan de kobles til skyen via små, sikre komponenter. Har du en kombinasjon av lokal lagring og skytjenester, kan løsningen følge deg på reisen. Det handler ikke om å gjøre alt over natten, men om å komme i gang.
Enklere, tryggere og mer forutsigbar sikkerhet
– Sikkerhet er ikke et dokument. Det er ikke en brannmur. Det er summen av alt som er satt opp riktig, overvåket, oppdatert og dokumentert. Det er nettopp det vi tilbyr gjennom SASE, sier Eidsten.
For deg som leder betyr det mindre kompleksitet og mer forutsigbarhet. Og en konkret vei til å oppfylle et komplekst direktiv.
NIS2-direktivet: Hva betyr det for deg?
NIS2 er en oppdatering av det opprinnelige NIS-direktivet (Network and Information Security Directive) fra 2016. Det er EUs mest omfattende regelverk for digital sikkerhet til dags dato, og målet er å sikre et jevnt og tilstrekkelig sikkerhetsnivå på tvers av medlemsland og sektorer, for både private og offentlige virksomheter.
NIS2 ble innført i alle EU-land i oktober 2024, og det er forventet at det norske regelverket vil oppdateres så snart som mulig. Allerede i dag er mange norske virksomheter som leverer til EU-land omfattet av regelverket.
Dette er de viktigste kravene i NIS2:
- God kontroll på beredskap, risikovurdering og hendelseshåndtering
- Tydelige regler for ansatte og god opplæring til ledelsen
- God kontroll på kryptering og tilgangsstyring
- Plikt til å rapportere alvorlige hendelser innen 24 timer
- Kontroll på sikkerheten i hele verdikjeden, ikke bare i egen organisasjon
- Måle effekt av sikkerhetstiltak og justere det som ikke fungerer
- Alltid kunne dokumentere hva du gjør og hvordan du tenker rundt sikkerhet
Manglende samsvar med NIS2 kan medføre bøter, stans av drift, ordre om retting eller pålegg om bedre opplæring for ledelsen. Med NIS2 får styret og daglig leder et særskilt ansvar for å etterleve kravene.
På sikt vil de aller fleste norske virksomheter omfattes av direktivet, enten direkte – eller indirekte gjennom verdikjeden.
I første omgang har EU som mål å sikre kritisk infrastruktur innen energi, transport, vann- og matforsyning, romfart, helsevesen, offentlig administrasjon, digitale tjenester og finanssektoren.
Ikke glem de industrielle komponentene
Fortinet er også en solid leverandør innen OT-sikkerhet, altså sikring av industrielle styringssystemer og fysiske anlegg. Det er en helt annen verden enn datasentre og skyløsninger, men like relevant i en NIS2-kontekst.
– OT-sikkerhet handler ofte om helt andre utfordringer. Som hvem som fysisk får tilgang til styringsskap eller hvordan informasjon sikres fra en sensor til et styringssystem, gjennom hele sin levetid. Her snakker vi ikke om sky, men om analyse av kommandoer som sendes, isolasjon og kontroll på det mest grunnleggende nivået, forklarer Eidsten.
Det er kjernen i Fortinets budskap: Du skal ikke presses inn i én løsning. En helhetlig sikkerhetsstrategi må ta høyde for både digitale og fysiske realiteter, og det er først når du forstår begge, at du virkelig kan oppfylle kravene i NIS2-direktivet.
