SecurityWorldMarket

06.01.2025

Formålsparagrafen – din machete i regeljungelen

Amund Kristiansen Sikkerhetsansvarlig, Canon Norge Foto: Canon

NIS2-direktivet er et hett tema innen sikkerhet, ikke minst blant leverandørene av sikkerhetssystemer til kunder knyttet til kritisk infrastruktur. I anledning dette publiserer vi et innlegg om NIS2 av Amund Kristiansen, sikkerhetssjef i Canon Norge.

NIS2, EU sitt nye direktiv for cybersikkerhet, vil gjelde for samfunnskritiske og viktige virksomheter. Alt fra helse, energi til transport og finans. Formålet? Å sikre et høyt felles nivå av sikkerhet i hele EU og EØS.

Reglene er omfattende og tekniske, og handler om alt fra risikostyring og rapportering til krav om tofaktorautentisering og beredskapsplaner. Det er lett å miste oversikten, og det er her formålsparagrafen kommer til unnsetning.

I NIS2-direktivet står formålet klart formulert i første artikkel. Direktivet legger føringer som har som mål å oppnå et høyt felles cybersikkerhetsnivå i hele unionen. Med andre ord – målet er bedre sikkerhet for å beskytte samfunnskritiske funksjoner. Alle andre krav i direktivet, uansett hvor teknisk og komplisert det virker, handler om dette ene målet.

Med andre ord er det bare å gå tilbake til formålsparagrafen når du blir overveldet av begreper og regler. Det handler egentlig om å besvare to spørsmål. Hvordan kan bedriften bidra til bedre sikkerhet, og hva er det mest effektive første steget å ta? Svaret er relativt enkelt: Styrk sikkerheten på «åpenbare» områder først, der du vet at du er for dårlig, samtidig som du bygger kompetansen til å gå planmessig til verks.

Konkret kan dette bety å starte med å styrke passordrutinene og tilgangsstyringen, samt å få på plass tofaktorautentisering. Så kan du lage en beredskapsplan og kartlegge risikoer mer inngående. Hvor er bedriften sårbar, og hva må endres og forbedres?

Det er lett å se NIS2 som en byrde. Sannheten er at det er en mulighet. Det er en unnskyldning for å få på plass tiltak du kanskje allerede visste var nødvendige. Behov for større budsjett? Refererer til NIS2. For ikke minst «tvinger» direktivet ledelsen å vie sikkerhet oppmerksomhet. Formålsparagrafen hjelper deg også med å kommunisere verdien av it-sikkerhet internt. Når en er tydelig på at målet er bedre sikkerhet for alle, blir det også enklere å skape forståelse og engasjement internt.

God sikkerhet er ikke bare i samsvar med NIS2. Det er god forretning. Robusthet og motstandsdyktighet beskytter mot trusler, styrker omdømmet, og kan hjelpe deg å åpne nye dører også i en kommersiell sammenheng.

Husk også at risikobildet endrer seg hele tiden, så evnen til å ta beslutninger og innføre tiltak er vel så viktig som det å ha en detaljert plan- ikke føl at du må ha alt satt i stein flere år fremover, før du starter å bli sikrere!

NIS2 er en omstilling. Start med å lese formålet nøye og bruk det som en ledestjerne. Det viktigste er å begynne med små konkrete tiltak. Det handler ikke bare om å møte kravene, men like mye om å styrke bedriften for tiden som kommer. Finn frem formålsparagrafen og kutt deg gjennom regeljungelen.

Amund Kristiansen
Sikkerhetsansvarlig, Canon Norge



Leverandører
Tilbake til toppen