DEBATT

Med NIS2-direktivet bør ingen lenger være både CISO og DPO

Når NIS2 blir omsatt til nasjonal lov og trer i kraft etter 18. oktober i år, vil det ha en varig, positiv innvirkning på oppfatningen av regulatorisk overholdelse i EU-landene.

Oppgavene som kommer med NIS2-direktivet blir for omfattende til at én person samtidig kan bekle både rollen som informasjonssikkerhetsleder og rollen som personvernombud, skriver Marco Eggerling, global informasjonssikkerhetsleder (CISO) i Check Point Software, i denne kronikken.
Oppgavene som kommer med NIS2-direktivet blir for omfattende til at én person samtidig kan bekle både rollen som informasjonssikkerhetsleder og rollen som personvernombud, skriver Marco Eggerling, global informasjonssikkerhetsleder (CISO) i Check Point Software, i denne kronikken. Foto: Pressefoto
Marco Eggerling, global CISO i Check Point Software
6. juni 2024 - 12:41

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

For første gang oppfordres det eksplisitt til samarbeid om cybersikkerhet mellom EU-medlemmene. Innen den tid vil behovet for robuste sikkerhetsprogrammer ha kommet sterkere i fokus for ledelsen i alle berørte virksomheter, ikke minst grunnet trusselen om administrative bøter slik som for GDPR. Direktivet vil også oppmuntre medlemslandene til å forbedre sine nasjonale sikkerhetsstrategier. 

Styrker samarbeid

Fremfor alt fremmer direktivet større harmonisering av sikkerhetskrav og rapporteringsplikter innenfor EU. EU-nettverket CyCLONe (European Cyber Crises Liaison Organisation Network) ble opprettet for dette formålet, og bidrar til å koordinere avsløringen av nye sårbarheter. Etableringen av EU CSIRTs Network bidrar også. Det ble etablert med NIS og er ytterligere styrket med NIS2, og skal bidra til å utvikle tillit og fremme raskt og effektivt operativt samarbeid mellom medlemslandene.

Innad i organisasjonene styrker direktivet samarbeid mellom jurister og informasjonssikkerhetsfolk. Det skjerper sikkerhetskravene til virksomhetene ved å håndheve en risikostyringstilnærming. Dette gjøres ikke minst ved å gi en minimumsliste over grunnleggende sikkerhetselementer som må brukes. Spesielt er rapporteringspliktene for sikkerhets- og personvernbrudd tydeligere regulert, i form av mer presise bestemmelser for varsling, innhold og frister. Organisasjoner vil nå måtte sende inn en første rapport til tilsynsmyndighetene innen 24 timer etter hendelsen, sørge for videre detaljer og en analyse etter 72 timer og lage en full rapport innen en måned.

Ofte fylt av samme person

NIS2 vil gjøre det nødvendig å sørge for at rollene Chief Information Security Officer (CISO) og Data Protection Officer (DPO), på norsk gjerne omtalt som henholdsvis informasjonssikkerhetsleder og leder personvern/personvernombud, ikke bekles av en og samme person.

CISO-rollen bør bli en rådgiver for ledelsen, noe som vil skape en sterkere kobling mellom forretning og IT. Dette kan også styrke organisasjonens bånd til respektive nasjonale sikkerhetsmyndigheter og sikre at eksisterende sikkerhetsstrategi og -praksis tilpasses deres krav. DPO-rollen er aktuell fordi NIS2 også vil resultere i større GDPR-overholdelse. Det er etablert over 28.000 DPO-er globalt siden GDPR trådte i kraft.

Problemet er at i for mange organisasjoner har de to rollene blitt fylt av samme person, noe som må endres for alle virksomheter som nå faller inn under NIS2. Oppgavene er for omfattende og ansvaret må deles mellom de to stillingene. Ellers forblir begge bare akronymer. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.