Klar for NIS2? Les sikkerhetssjefens tre råd til norske bedrifter

Sikkerhetsekspert i Fortinet, Lars Eidsten, deler sine beste råd til norske bedrifter rundt håndtering av NIS2. Foto: Fortinet

Del

Produsert av TUM Studio

NIS2-direktivet har som mål å styrke Europas kollektive motstandsdyktighet mot digitale trusler. Men for Norge, som ikke er EU-medlem, er veien til implementering litt mer kronglete. Samtidig er vi blant verdens mest digitaliserte land – med alt fra sensorer i søppelkasser til selvkjørende ferjer. Det gjør at NIS2 kan få store konsekvenser når den omsider blir innlemmet i norsk rett.

– Vi ligger på mange måter foran digitalt, men samtidig bak i det regulatoriske, sier sikkerhetsekspert i Fortinet, Lars Eidsten.

Han viser til at Norges eksisterende Digitalsikkerhetsloven i stor grad er bygget på NIS1. Når EU har oppgradert sitt rammeverk til NIS2, må Norge ta et nytt jafs gjennom EØS-tilpasningen. Eidsten er likevel tydelig på at NIS2 kan være en gavepakke for norske bedrifter som vil sikre seg og sine leverandører bedre.

Status for Norge: – Vi er flinke, men trege

Formelt sett ble NIS2 vedtatt i EU med virkning fra oktober 2024, men flere medlemsland henger etter med å inkorporere direktivet i nasjonal lovgivning. I Norge omfattes av EØS-avtalen, noe som gjør prosessen ytterligere forsinket.

– Norske bedrifter etterlyser mer konkret hjelp for å tolke kravene – og der kan NIS2 hjelpe, sier Lars Eidsten. <i>Foto: Exclusive Networks</i>

– Norske bedrifter etterlyser mer konkret hjelp for å tolke kravene – og der kan NIS2 hjelpe, sier Lars Eidsten. Foto: Exclusive Networks

– Digital sikkerhetsloven var vår måte å innlemme NIS1. Vi ligger allerede litt bak når det gjelder NIS1, og må dermed løfte oss enda et hakk for å innfri NIS2. Vi er flinke til å ta i bruk ny teknologi, men ikke alltid like raske på å implementere EU-regelverk, forteller Eidsten.

Norge er dessuten et land med krevende infrastruktur. Vi har topografi som gjør strømforsyning og transport mer sårbar for avbrudd. Samtidig har vi mange småbedrifter med kritiske funksjoner, særlig innen vannkraft og energisektoren. NIS2 skal gi tydeligere krav til hvordan man sikrer de ulike delene av samfunnskritisk infrastruktur. Samtidig ønsker mange norske aktører mer praktisk veiledning:

– Vi er vant til å digitalisere alt fra vannverk til søppelhåndtering. Det gir oss store gevinster, men også et bredere angrepsareal. Norske bedrifter etterlyser mer konkret hjelp for å tolke kravene – og der kan NIS2 hjelpe, sier Eidsten.

Leverandørkjeden under lupen

Et hovedgrep i NIS2 er at leverandører som leverer kritisk infrastruktur eller tjenester til en virksomhet som faller inn under regelverket, også kan få skjerpede krav. Dermed kan hele verdikjeden måtte oppfylle bestemmelser for risikostyring, rapportering og beredskap.

Sikkerhetsekspert i Fortinet, Lars Eidsten. <i>Foto: Fortinet</i>

Sikkerhetsekspert i Fortinet, Lars Eidsten. Foto: Fortinet

– Alle har snakket om at NIS2 stiller strengere krav til underleverandører. Det er bra, men det viktige for norske bedrifter er å bruke dette som et verktøy. Underleverandører er ofte veien inn for ondsinnede aktører. NIS2 gir et klarere rammeverk, så jeg råder alle til å kjøre en revisjon av hele leverandørkjeden, sier Eidsten.

Han påpeker at mange bedrifter fortsatt mangler rutiner for å sjekke sikkerhetshull hos tredjepartsaktører. NIS2 gjør det enklere for sluttkunder å kreve dokumentasjon og gjennomføre sikkerhetsrevisjoner, noe som ifølge Eidsten vil tvinge frem bedre holdninger i alle ledd.

Tre råd til norske bedrifter

Bruk eksisterende lovverk og NIS2 som argument

– Alle som jobber med cybersikkerhet vet hva som bør gjøres. Men ofte mangler de ressurser og tid. Bruk lovgivning som NIS2 og digital sikkerhetslov til å forankre nødvendige investeringer i styret. Da får dere både juridisk dekning og budsjett til å gjennomføre tiltak, mener Eidsten.
Kartlegg egne underleverandører

Norske bedrifter bør systematisk gå gjennom hvem som leverer teknologi, infrastruktur og tjenester, og kreve en sikkerhetsrapport.

– Mange bedrifter undervurderer risikoen i leverandørleddet. Sett opp sjekklister, kjør revisjon og sørg for at leverandørene oppfyller de samme eller strengere krav enn dere selv. Da er det vanskeligere for angripere å finne svake punkter i kjeden, sier Eidsten.
Tenk strategisk: Sikkerhet skal gi konkurransefortrinn

Hvis man dokumenterer at man tar IT-sikkerhet på alvor, kan det være utslagsgivende ved anbud og kontraktsinngåelser. Særlig i sektorer hvor det er strenge krav til datasikkerhet, som helse og energi.

– Det holder ikke med papirsikkerhet. Du må faktisk implementere tiltak som reduserer reell risiko. Da blir du også mer attraktiv som leverandør, understreker Eidsten.

Utover compliance: – Ikke glem det strategiske perspektivet

Mange tenker på NIS2 primært som en øvelse i etterlevelse av et nytt regelverk. Eidsten oppfordrer norske virksomheter til å se NIS2 som et springbrett for å styrke sin totale sikkerhetsarkitektur:

– NIS2 kan brukes til å sette fart på innovasjon. Har du god sikkerhetsinfrastruktur, kan du ta i bruk ny teknologi raskere og med mindre risiko. Det gir faktisk en konkurransefordel, sier han.

Han trekker paralleller til miljøsertifisering: Når bedrifter viser at de oppfyller bestemte standarder og har dokumentert drift, gagner det både dem selv, kundene og bransjen. Slik kan også NIS2 og digital sikkerhetslov løfte bransjen som helhet.

ENISA (EUs cybersikkerhetsbyrå) utvikler for øvrig verktøy, rapporter og prosedyrer for å harmonisere implementeringen av NIS2. Ifølge Eidsten kan norske bedrifter allerede nå nyte godt av ENISAs maler og retningslinjer, selv om Norges svar på direktivet lar vente på seg.

Last ned Fortinets whitepaper om NIS2

Myndighetenes rolle: – Bedre veiledning trengs

I noen større virksomheter, spesielt de som allerede er underlagt sikkerhetsloven (NIS1), er bevisstheten rundt neste runde med NIS2 høy. Men mange små og mellomstore bedrifter har begrenset kjennskap. Det er ifølge Eidsten her myndighetene må bli tydeligere:

– Nasjonal sikkerhetsmyndighet (NSM) har gode ressurser, men kanskje ikke nok volum for å nå ut til alle. Det finnes bedrifter som ikke vet at de omfattes av dagens lovverk, langt mindre av kommende NIS2. Mer kommunikasjon, flere guider og enklere veiledning vil hjelpe dem som ikke er ‘digitalt født’ med dette, sier han.

Særlig i distriktene finnes det virksomheter med kritisk funksjon (alt fra vannverk til små energi- eller renovasjonsselskaper) som kan falle inn under NIS2. Hvis de er uforberedt, kan det føre til store hull i nasjonal sikkerhet.

Veien videre: – Vi må løfte alle

Mens ENISA og enkelte EU-land, som Belgia og Tyskland, allerede tilbyr detaljerte veiledninger, ligger Norge noe bak i løypa. Likevel håper Eidsten at norske myndigheter, bransjeorganisasjoner og bedrifter vil gripe muligheten:

– Vi i Norge har en unik posisjon fordi vi er høyt digitalisert. Bruker vi NIS2 smart, kan vi både sikre samfunnskritiske funksjoner og skape nye fortrinn for norske bedrifter. Men da må vi løfte hele bredden av leverandører og tjenestetilbydere, sier han.

NIS2 handler i bunn og grunn om å skape en mer robust digital infrastruktur i hele Europa. For norske virksomheter er timingen god: Ved å forberede seg nå, kan de ta en «høyeste fellesnevner»-tilnærming, der man sikter mot de strengeste kravene fra starten. Det gjør det lettere å drive virksomhet på tvers av landegrenser – og gir bedre forsvar mot stadig mer avanserte trusler.

– De som forbereder seg nå, kan bli morgendagens vinnere. Sikkerhet er ikke bare en kostnad – det er også en mulighet, avslutter Eidsten.