_logo.svg.png){kind=logo}
Totalforsvar er eneste realistiske vei for å møte kravene i NIS2
NIS2-direktivet er ikke vanskelig fordi kravene er uklare, men fordi de er krevende i praksis.
– Du kan ikke lene deg på enkeltstående sikkerhetsverktøy, som hver for seg løser én spesifikk utfordring eller risiko. Du må bygge et totalforsvar, fastslår Poul Kjeldgaard, teknologidirektør for kundeløsninger i Dell Technologies.
Det nye direktivet fra EU skal gjøre europeiske virksomheter bedre rustet mot cyberangrep. Det krever mer enn teknologi – det stiller også krav til prosesser, ledelse og leverandører. Likevel møter mange virksomheter kravene med gamle metoder og silotankegang.
– Mange tror dette handler om å legge til et nytt sikkerhetsprodukt eller å skrive en prosedyre. Men det handler ikke om punktvise tiltak. NIS2 er et skifte i tankesett. Og det krever en helhetlig tilnærming, sier Kjeldgaard.
Kompleksitet bak enkle krav
NIS2-direktivet stiller ti tydelige minstekrav. På overflaten virker de overkommelige – men for mange virksomheter er dette et minefelt i praksis.
– Det ser kanskje enkelt ut å lage en risikovurdering eller etablere sikkerhetsregler. Men i realiteten er det få som har oversikt over hvilken informasjon de har, hvor den er lagret, og hvordan den sikres. Mye eksisterer bare på papiret, sier Kjeldgaard.
Han trekker spesielt frem dataklassifisering som en utfordring. Altså det å identifisere hvilken informasjon som er kritisk for virksomheten, og sikre at den beskyttes i tråd med hvor viktige den er.
– Jeg har aldri sett en virksomhet som faktisk har dette i orden. Informasjon flyter rundt: i gamle e-postkontoer, i backup-systemer og i mapper ingen har kontroll over. Og likevel tar man sikkerhetskopi av alt. Da mister du oversikt over hva som faktisk er kritisk, sier han.
Kjeldgaard mener dette er fundamentalt for å forstå hvorfor enkeltstående sikkerhetsløsninger ikke fungerer:
– Det hjelper ikke å sikre ett system. Når informasjonen ligger overalt, må sikkerheten være helhetlig.
Et annet aspekt som ofte glemmes, er opplæring og grunnleggende digital hygiene:
– De fleste virksomheter vet at opplæring er viktig, men de mangler rutiner for å sikre at det faktisk skjer. Uten bevissthet og gode vaner hos ansatte hjelper ingen teknologi, sier Kjeldgaard.
– I realiteten er det få som har oversikt over hvilken informasjon de har, hvor den er lagret, og hvordan den sikres.
Poul Kjeldgaard, teknologidirektør for kundeløsninger i Dell Technologies
Uten innsyn, ingen kontroll
Et av de mest krevende punktene i NIS2 er kravet om kontroll og sikkerhet i hele leverandørkjeden.
– Du kan ikke sette ut ansvar. NIS2 krever at du selv må kunne vurdere sikkerhetsnivået hos alle leverandører – og det gjelder også infrastrukturen i skyen. Men hvordan skal du vurdere sikkerheten i alle ledd bak en offentlig sky? spør Kjeldgaard.
Dette dilemmaet har fått mange til å revurdere skystrategien:
– Vi ser at flere vurderer å hente hjem systemer og informasjon. Ikke fordi skyen er usikker, men fordi det er praktisk talt umulig å dokumentere det totale sikkerhetsnivået hos alle underleverandører. Uten innsyn, ingen kontroll. Uten kontroll, ingen NIS2-etterlevelse, sier han.
Dell Technologies svarer blant annet med egne standarder for maskinvaresikkerhet. Det betyr at hver eneste datamaskin sjekker sine egne komponenter mot det som er forhåndsgodkjent – og nekter å starte opp hvis noe er endret eller mistenkelig. Dette forhindrer at ondsinnet kode eller uautoriserte deler tar kontroll over maskinen.
– Dette er sikring i praksis. Ikke bare et dokument. Ikke bare et løfte. Men noe som faktisk fungerer når det gjelder.
Kjeldgaard trekker frem at lovgivningen i NIS2-direktivet er godt ment, men i praksis ofte umulig å gjennomføre slik det står skrevet. Særlig når ansvaret ikke kan settes ut, og kontrollen i mange tilfeller er umulig å oppnå.
Når alt faller – hva prioriterer du først?
En annen utfordring er kravet om plan for gjenopprettelse. Mange virksomheter tenker at en sikkerhetskopi alene er tilstrekkelig. Det er det ikke, ifølge Kjeldgaard:
– Du må ha en plan for hva du må få opp først – hva som er ditt «minimum viable company». Hvis du mister Microsoft 365 – med e-post, Teams, OneDrive, SharePoint – hva gjør du da? Har du tenkt gjennom hvilke funksjoner som må opp først, og hvor lang tid det faktisk vil ta?
Han mener mange har en beredskapsplan, men at få reelt har testet den. Og enda færre har kontroll på hvordan de prioriterer i en krisesituasjon.
– Det står i NIS2-direktivet at du skal kunne dokumentere dette. Men i realiteten vil mange oppdage at de ikke har verktøyene, oversikten eller rutinen til å få driften raskt tilbake.
NIS2-direktivet: Hva betyr det for deg?
NIS2 er en oppdatering av det opprinnelige NIS-direktivet (Network and Information Security Directive) fra 2016. Det er EUs mest omfattende regelverk for digital sikkerhet til dags dato, og målet er å sikre et jevnt og tilstrekkelig sikkerhetsnivå på tvers av medlemsland og sektorer, for både private og offentlige virksomheter.
NIS2 ble innført i alle EU-land i oktober 2024, og det er forventet at det norske regelverket vil oppdateres så snart som mulig. Allerede i dag er mange norske virksomheter som leverer til EU-land omfattet av regelverket.
Dette er de viktigste kravene i NIS2:
- God kontroll på beredskap, risikovurdering og hendelseshåndtering
- Tydelige regler for ansatte og god opplæring til ledelsen
- God kontroll på kryptering og tilgangsstyring
- Plikt til å rapportere alvorlige hendelser innen 24 timer
- Kontroll på sikkerheten i hele verdikjeden, ikke bare i egen organisasjon
- Måle effekt av sikkerhetstiltak og justere det som ikke fungerer
- Alltid kunne dokumentere hva du gjør og hvordan du tenker rundt sikkerhet
Manglende samsvar med NIS2 kan medføre bøter, stans av drift, ordre om retting eller pålegg om bedre opplæring for ledelsen. Med NIS2 får styret og daglig leder et særskilt ansvar for å etterleve kravene.
På sikt vil de aller fleste norske virksomheter omfattes av direktivet, enten direkte – eller indirekte gjennom verdikjeden.
I første omgang har EU som mål å sikre kritisk infrastruktur innen energi, transport, vann- og matforsyning, romfart, helsevesen, offentlig administrasjon, digitale tjenester og finanssektoren.
Du må evaluere om det virker
NIS2 handler ikke bare om å ha tiltak på plass, men også om å evaluere hvor godt de virker. Her svikter mange, mener Kjeldgaard:
– Sikkerhetsansvarlige må kunne vise til hvordan sikkerhetstiltak fungerer i praksis. Derfor har vi bygget inn muligheten for sikkerhetsscore direkte i de større systemene våre. Du trykker på en knapp, og får en score fra en til ti – og konkrete forslag til hva du kan forbedre. Det gir et reelt beslutningsgrunnlag.
Det kan bli dyrt å være uforberedt
Den største endringen NIS2 fører med seg, er at sikkerhet nå er et lederansvar.
– Tidligere var dette IT-sjefens bord. Nå er det styret og toppledelsen som eier risikoen. Og det ansvaret kan ikke skyves bort eller delegeres. Det må forstås og følges opp, sier Kjeldgaard.
Han mener at de som tar NIS2 på alvor, vil bruke det som en anledning til å rydde – og bygge et sterkere og fremtidsrettet forsvar:
– Ingen kommer til å levere perfekt på alle punkter. Men forskjellen mellom dem som gjør NIS2 til en skrivebordøvelse, og dem som faktisk bygger totalforsvar – den blir tydelig. Og denne forskjellen vil kunne koste de uforberedte dyrt, sier han.
– Vi skal være ærlige: NIS2 er ambisiøst. Men det er også nødvendig. Du kan ikke bygge en ny sikkerhetskultur med gårsdagens tankesett. Og du kan ikke møte komplekse krav med enkeltstående løsninger. Du må bygge et totalforsvar. Det er det eneste realistiske svaret for å møte kravene i NIS2, avslutter han.
