– Det er lurt å henge opp en utskrift av nødplakaten på veggen, i tilfelle datasystemene blir utilgjengelige i et digitalt angrep. Da har man de viktigste telefonnumrene for krisehåndteringen lett tilgjengelig, sier direktør Odin Johannessen i Næringslivets Sikkerhetsråd (NSR).

Nødplakaten ble utviklet for å gjøre det lettere for næringslivet å forstå hvilke akutte tiltak de bør iverksette om de rammes av digitale angrep. Tiltaket har fått god mottakelse hos både større og mindre bedrifter. Den opprinnelige nødplakaten ble utviklet av NSR i samarbeid mellom Politiets nasjonale cyberkrimsenter (NC3) og Nasjonal sikkerhetsmyndighets nasjonale cybersikkerhetssenter (NSCS). I den oppdaterte versjonen er også Datatilsynet med.

– Det er viktig å få frem at alle virksomheter har meldeplikt til Datatilsynet dersom personopplysninger endres eller kommer på avveie som følge av et digitalt angrep, sier Veronica Jarnskjold Buer, avdelingsdirektør for teknologi i Datatilsynet.

Meldeplikten er lovpliktig som følge av personvernforordningen (GDPR). Datatilsynet skal varsles så raskt som mulig, og senest 72 timer etter at sikkerhetsbruddet oppsto. Personopplysningsbrudd kan meldes trinnvis. Ved alvorlige hendelser bistår vi ofte i den akutte fasen. De store høytider utnyttes ofte av trusselaktører, og flere større hendelser skjer da, og beredskap er derfor viktig, sier Buer.

– Brudd skal meldes gjennom et eget skjema i Altinn. Hvis man ikke har mulighet til det under et digitalt angrep, kan man også sende e-post til oss på postkasse@datatilsynet.no, sier Buer.

I tillegg til nødplakaten må bedriftene ha egne beredskapsrutiner for å håndtere digitale angrep. Odin Johannessen er tydelig på at nødplakaten kun er et supplement.

– Bedriftene må for eksempel ha planer for hvem som har fullmakt til å koble hele bedriften av internett, og hvordan man gjør det i praksis. Slike praktiske ting er det særlig viktig å ha planer for inn mot jul, når alle er på ferie, sier Johannessen.

Han oppfordrer bedriftene til å inngå avtaler med hendelseshåndteringsleverandører på forhånd, slik at man er best rustet til å ta rask aksjon når noe skjer.

– Også er det viktig å understreke at alle beredskapstiltak selvsagt kommer på toppen av det systematiske og forebyggende sikkerhetsarbeidet, der NSMs grunnprinsipper for IKT-sikkerhet gir viktige føringer, sier Johannessen.

Den oppdaterte nødplakaten er kvalitetssikret av NSRs informasjonssikkerhetsutvalg, og kan lastes ned fra NSRs hjemmesider.