Hvordan holder styringen seg når kravene skjerpes? Med NIS2 flyttes informasjonssikkerhet høyere opp på ledelsens agenda. For mange virksomheter blir det en stresstest av hvor godt risiko, kontroll og ansvar henger sammen. Ifølge Christopher Läns, GRC-ekspert i Stratsys, ligger løsningen i en styringsmodell som holder over tid.
Mange virksomheter i både industri og offentlig sektor merker det økende presset fra nye regelverk. NIS2 og DORA innfører nye krav til hendelseshåndtering, leverandørstyring, kontinuitet og rapportering. Samtidig flyttes ansvaret lenger opp i organisasjonen, noe som særlig merkes i ledelse og styre.
For ledelse og styre blir spørsmålet raskt større enn informasjonssikkerhet. Det handler til syvende og sist om virksomhetens evne til å sette tydelige krav, følge dem opp og sikre at styringen faktisk fungerer i praksis.
Regelverk som blottlegger sprekkene
Christopher Läns jobber med GRC- og informasjonssikkerhetsspørsmål i Stratsys. Han møter ofte virksomheter midt i denne omstillingen. Og det er et mønster som går igjen i hvordan nye regelverk tas imot.
- Den naturlige impulsen er ofte å starte et eget initiativ. Sette ned en arbeidsgruppe, etablere nye prosesser og se over verktøystøtten. Det er forståelig, men det risikerer også å forsterke et strukturproblem som allerede fantes, sier Christopher.
Risikoene i regelverk som NIS2 er sjelden nye i seg selv. Faktum er at mange virksomheter allerede jobber med hendelseshåndtering, leverandørrisiko, tilgangsstyring og kontinuitetsplanlegging. Det regelverkene egentlig gjør, er å synliggjøre hvordan disse spørsmålene håndteres – og om styringen virkelig henger sammen.
Christopher Läns, GRC Lead, Stratsys
Parallelle spor i risikoarbeidet
Hvordan bør for eksempel et norsk industriselskap agere når et nytt regelverk innføres? Det naturlige kan være å sette i gang egne arbeidsgrupper og etablere ny rapportering. Det signaliserer handlekraft og viser at saken tas på alvor.
- Når organisasjonen svarer på et eksternt krav med enda en arbeidsflyt, forsterker man i praksis en fragmentering som allerede finnes. Konsekvensen av overlappingen kan bli at samme risiko håndteres flere ganger, sier Christopher.
Konsekvensen kan altså bli at risiko håndteres flere ganger – for eksempel når de samme leverandørrisikoene allerede følges opp av innkjøp og IT. Eller når hendelser allerede håndteres innenfor informasjonssikkerhet. Kontinuitetsrisiko kan dessuten allerede være en del av virksomhetens eksisterende risikoarbeid.
Når NIS2 legges oppå alt dette, oppstår enda et lag av prosesser, rapportering og ansvar. Det får raskt konkrete konsekvenser:
- Samme risiko følges opp i flere prosesser.
- Flere funksjoner etterspør samme informasjon.
- Rapporteringsgrunnlaget varierer.
- Ansvar blir uklart mellom funksjoner.
- Beslutningsgrunnlaget fragmenteres.
Kostnadene ved dette valget merkes sjelden umiddelbart. De viser seg over tid som økt kompleksitet, mer administrasjon og en vanskeligere prioritering når det neste kravet kommer. Regelverk som NIS2 blir et tydelig speilbilde av virksomhetens eksisterende styringsmodell.
Når styringen holder
Å oppfylle regelverk er ikke det samme som å bygge en styringsmodell som holder over tid. Det blir ekstra tydelig når neste krav trer i kraft, når en større kunde stiller nye spørsmål om cybersikkerhet, eller når styret vil forstå virksomhetens motstandskraft.
Nøkkelen er å finne måter å styrke den overordnede strukturen på. Ellers vil den samme utfordringen dukke opp igjen når neste regelverk skal håndteres eller neste revisjonskrav kommer inn i organisasjonen.
Christopher mener at de virksomhetene som har kommet lengst, sjelden organiserer seg ut fra hvert enkelt regelverk – de tar utgangspunkt i de underliggende risikoene.
- Det er først når samme kontroll kobles til flere regelverk, forretningsrisikoer eller rapporteringskrav at strukturen begynner å skape reell verdi, sier Christopher.
Det er også her verdien av en felles struktur og helhetlig systemstøtte blir tydelig. Når risiko, kontroll og ansvar henger sammen over tid, kan nye krav integreres i samme modell – i stedet for å skape nye prosesser og enda mer administrasjon.
Verdien av riktig struktur
En felles struktur handler ikke om å forenkle virkeligheten, men om å organisere den slik at risiko, kontroll og ansvar kan holdes sammen over tid. Når risikoer som leverandøravhengighet, hendelsesberedskap, tilgang og identitet, kontinuitet og personvern følges opp hver for seg, øker kompleksiteten raskt. Det fører ikke bare til mer administrasjon, men også til et svakere helhetsbilde.
Det motsatte gjelder også: når samme kontroll defineres én gang og brukes på tvers av flere regelverk, får virksomheten en mer helhetlig arbeidsmåte som frigjør ressurser. De samme dataene kan brukes i flere sammenhenger, ansvar blir tydeligere, og oppfølgingen baseres på sammenlignbart grunnlag. Slik blir det mulig å:
- Skape et samlet bilde av risikobildet.
- Prioritere tiltak ut fra helheten.
- Redusere dobbeltarbeid i virksomheten.
- Tydeliggjøre ansvar og eskalering.
- Fatte beslutninger på sammenlignbart grunnlag.
Strukturen blir et konkret beslutningsstøtte for ledelse og virksomhet – fra prioritering av investeringer til hendelsesberedskap og leverandørrisiko.
Regelverket som katalysator
Forskjellen blir ekstra tydelig når man ser på hvordan dette kan utspille seg i praksis. Christopher beskriver hvordan nye lovkrav kan føre til at prosjekter settes i gang og investeringer gjøres for å håndtere oppfølging og dokumentasjon. Tre måneder senere kan det imidlertid vise seg at den samme leverandørrisikoen allerede følges opp av IT, risikofunksjonen og internrevisjonen. Samtidig har virksomheten en egen prosess for kontinuitetsrisiko.
Plutselig sitter organisasjonen med fire ulike spor for å håndtere det som i praksis er den samme underliggende risikoen.
- I lys av nye lovkrav blir det tydelig at det kreves en struktur som holder på tvers av flere regelverk. På den måten kan regelverk som NIS2 fungere som en katalysator for virksomheten. De synliggjør hvor fragmentert styringen allerede var, sier Christopher.
Strategispørsmål, ikke et ressursspørsmål
Det som kjennetegner virksomheter med høyere modenhet, er sjelden mengden ressurser, men hvordan arbeidet henger sammen. En felles modell for risiko og kontroll skaper en struktur som også holder for fremtidige regelverk. Det styrker både den operative evnen og ledelsens beslutningstaking. Slik bygger man en styring som holder over tid.
Spørsmålet er derfor ikke i første rekke om dere oppfyller NIS2. Det egentlige spørsmålet er hva kravene avslører om hvor robust virksomhetens styring faktisk er.
Ta neste steg – se hvordan du kan samle og effektivisere arbeidet med cybersikkerhetsloven.
