NIS2-direktivet representerer et enormt løft for digital sikkerhet i Norge og resten av Europa. Når direktivet trer i kraft i Norge, vil såkalt vesentlige og viktige samfunnsfunksjoner måtte dokumentere at den digitale motstandsdyktigheten er i tråd med de nye kravene. Har du en virksomhet eller er underleverandør innen energiområdet, bank og finans, helse, vann og avløp, transport og logistikk, matproduksjon, IKT, digital infrastruktur og -tjenester og offentlig forvaltning, vil du bli underlagt et tilsynsregime som skal kontrollere at dette blir fulgt opp.
Direktivet har noen overordnede fokusområder: risikostyring, ansvarliggjøring av ledelsen, rapportering og kontinuitetsplanlegging. Personell med riktig kompetanse i nøkkelroller er en forutsetning for alle områdene.
Selve stresstesten
NIS2-direktivet er viktig for å sikre stabile samfunnsfunksjoner. I fredstid er det mye som kan gå galt, noe Crowdstrike-hendelsen nylig har vist oss. Ulike former for datakriminalitet og hybride nettverksoperasjoner kan også skape problemer og forstyrrelser i fredstid. Det er likevel i krise og krig at vi må forvente at motstandsdyktigheten mot digitale trusler skal være størst. Det er da din virksomhet skal gjennom selve stresstesten for digital sikkerhet, og det er da risikostyringen, rapporteringen og ikke minst kontinuitetsplanen skal iverksettes av ansatte i nøkkelroller, som har opparbeidet seg kompetanse og trening over lang tid.
Hva vil skje når dine ansatte ikke kommer på jobb fordi Forsvaret trenger dem?
I Norge har vi et mobiliseringssystem som skal sørge for at Forsvaret har de riktige menneskene i ulike roller over hele landet. Når krisen inntreffer, vil mange tusen nordmenn, som i det daglige arbeider i norske virksomheter, kunne bli innkalt til militær tjeneste. De det gjelder har fått vite hvilken rolle de skal inn i og hvor de skal reise dersom de blir innkalt.
IKT-kompetanse: En utfordring for små og mellomstore statlige virksomheter
Fritaksordning
Nå som Forsvaret skal styrkes, må vi også regne med at det vil bli behov for å mobilisere enda flere som i dag har nøkkelroller innen digital sikkerhet i sivil sektor. Forsvaret har med andre ord planer for noen dine ansatte som til vanlig jobber innen IT og digital sikkerhet, dersom det blir krig. Når dette treffer ansatte med nøkkelroller i de vesentlige og viktige samfunnsfunksjonene, kan situasjonen bli svært alvorlig.
Når du som leder nå gjør deg klar til å møte kravene i NIS2-direktivet, må du samtidig sørge for at de som har nøkkelroller både har nødvendig kompetanse og trening, og at de faktisk kommer til å stå på sin post dersom krisen kommer. Det finnes nemlig en fritaksordning som er hjemlet i Forsvarsloven og i Vernepliktsforskriften.
Her kan virksomheter søke om fritak for ansatte som er innkalt til tjeneste i Forsvaret, dersom virksomheten oppfyller vilkårene og er definert som samfunnskritisk av Justis- og beredskapsdepartementet. I vilkårene finner vi blant annet at oppgavene som vedkommende har er kritiske for virksomheten evne til å ivareta de samfunnskritiske funksjonene, og at det ikke er noen andre som kan ivareta dem. Bemanningsproblemer i daglig drift regnes ikke som grunnlag for fritak. Det er virksomhetens oppgave å søke om slike fritak, og å begrunne det opp mot behovet for å levere vesentlige og viktige samfunnsfunksjoner.
Flere blir berørt
Noen virksomheter er en del av den sivil beredskapen og inngår i Totalforsvaret. I disse virksomhetene har nok mange tenkt på dette allerede, og sørget for fritak for ansatte i nøkkelroller. Det nye med NIS2 er at virkeområdet er mye større, og det omfatter virksomheter som til nå ikke har forholdt seg til beredskap i krise og krig.
Som med alt annet er også dette et lederansvar. Vårt råd er at du må ta stilling til dette i arbeidet med NIS2 og sørge for at det blir en del av den pågående risikostyringen og kontinuitetsplanleggingen. I tillegg bør myndighetene vurdere om mobiliseringssystemet bør endres, og at det må pålegges Forsvaret et større ansvar for å forsikre seg om at de som blir innkalt, ikke har nøkkelroller i virksomheter som leverer samfunnskritiske tjenester.
Cyberangrep på det grønne skiftet