Smarte prioriteringer for å lykkes med NIS2

kvinne-stjerne-i-front-av-bygning-med-ipad
Skrevet av
Clara Westman
Lesetid
4 min

For mange bedrifter er NIS2 et stressmoment. Kravene øker, men ressursene øker ikke i samme takt. For å lykkes trenger du ikke flere timer i døgnet, sier sikkerhetsekspert Per Gustavsson i Stratsys. Nøkkelen er smartere prioriteringer, bedre verktøy og et tydelig fokus.


EU-direktivet NIS2 vil bli innlemmet i svensk lovgivning i form av cybersikkerhetsloven - sannsynligvis innen utgangen av 2025. Direktivet stiller nye og strengere krav til styring, ansvar og dokumentasjon. I tillegg tar informasjonssikkerhetsarbeidet steget inn i ledelsesrommene.

For mange CISO-er er imidlertid ressursene allerede sprengt. Dette skyldes ikke minst et fragmentert IT-miljø, preget av mange avhengighetsforhold og uklare mandater mellom funksjoner. Ofte kan det være vanskelig å vite hvor mange ressurser som trengs for å oppfylle kravene. Samtidig er det mye å gjøre hvis man lykkes med prioriteringen.

De største utfordringene knyttet til NIS2

Ifølge Stratsys sin sikkerhetsekspert og CISO Per Gustavsson er det sjelden den individuelle kontrollen som er utfordringen for bedriftene, men kompleksiteten som følger med en stor organisasjon. Utfordringene spenner fra et fragmentert systemmiljø til mangel på kunnskap.

Per trekker spesielt frem følgende utfordringer knyttet til NIS2:

  • Fragmentert IT- og systemmiljø. Store selskaper sitter ofte på et lappeteppe av tekniske løsninger - gamle forretningssystemer, skytjenester og tredjepartsløsninger. Det blir tid- og ressurskrevende å skape oversikt.
  • Uklare ansvarsforhold i organisasjonen. Det er ofte uklart hvem som faktisk eier informasjonssikkerhetsspørsmålet. Det er ikke uvanlig at IT, virksomheten og HR antar at ansvaret ligger hos noen andre. CISO blir for ofte den eneste budbringeren og den som må gjøre jobben.
  • Uvitenhet og lav støtte. På ledelsesnivå er det få som kan forklare hva NIS2 betyr i praksis. Enda færre ser de økonomiske, juridiske eller strategiske implikasjonene av direktivet. Uten den rette forståelsen vil det være vanskelig å skaffe de ressursene som trengs.
  • Begrenset kriseberedskap. Mange organisasjoner er forberedt på operasjonelle hendelser. De mangler imidlertid evnen til å snu organisasjonen rundt i en cybersikkerhetskrise. Flere funksjoner må kunne tre frem i et slikt scenario. Noe som krever opplæring og forberedelser.

Per Gustavsson - Stratsys
Per Gustavsson, CISO i Stratsys

Prioritering med begrensede ressurser

I realiteten er det ikke mulig å få til alt. Det er heller ikke en ønskelig strategi, ifølge Per. Med de høyere kravene som NIS2 stiller til organisasjonen, kommer evnen til å prioritere i forgrunnen. For å lykkes med NIS2 uten å brenne ut organisasjonen, må du velge med omhu - og fokusere på det som gir størst effekt.

Så hva er det viktigste å prioritere når ressursene er knappe? Ifølge Per handler det om fire ting:

  1. Begynn med det som er mest kritisk
    Hvilke systemer er forretningskritiske? Hva må fungere for at organisasjonen skal kunne utføre oppdraget sitt eller fortsette å generere inntekter? Begynn med kjernen.
  2. Identifiser de største risikoene
    Ikke alle risikoer er like store. Bruk 80/20-prinsippet - en liten del av risikoene står ofte for en stor del av konsekvensbildet. Sørg for å ta tak i disse først.
  3. Minimer manuelle oppgaver
    Manuelle operasjoner er ikke bare ressurskrevende, de er også en vanlig kilde til feil. Identifiser derfor tidlig hvor og hvordan du kan automatisere arbeidsflyten i organisasjonen. Det kan for eksempel gjelde rapportering av hendelser, påminnelser og andre prosedyrer.
  4. Vær tro mot organisasjonens formål
    NIS2-arbeidet må aldri bli et mål i seg selv. Det må være forankret i spørsmålet om hva vi er her for å gjøre - og hva som skal til for å fortsette å levere det. Den røde tråden fra forretningsverdi til cybersikkerhet må holdes i live.

Automatiser der det teller

Moderne GRC-systemstøtte gjør det ikke bare enklere å håndtere krav. Det gjør det også enklere å oppnå mer med færre ressurser. Så hvordan bør vi se på hvilken rolle systemstøtten spiller i arbeidet? Ifølge Per bør systemstøtten bidra til å flytte fokuset i arbeidet:

- Hvis vi zoomer litt ut, er en god tommelfingerregel at systemstøtten skal bidra til å flytte tyngdepunktet i arbeidet - fra reaktiv til proaktiv sikkerhetsstyring, sier Per.

Det gode systemet bør gjøre det mulig å

  • Få oversikt over risikoer og tilganger
  • Visualisere sammenhenger mellom trusler, systemer og prosesser.
  • Automatisere hendelseshåndtering og rapportering.
  • Arbeide strukturert med risikomatriser og gap-analyser.
  • Spore endringer, ansvarsområder og tiltak.
  • Lage ferdige rapporter for ledelsen, revisorer eller tilsyn.

Per tar også opp spørsmålet om AI-funksjonalitet:

- En moderne systemstøtte bør også tilby AI-støtte. Den kan for eksempel foreslå risikoreduserende tiltak eller analysere trender. AI kan oppsummere komplekse rapporter og data som er samlet inn fra ulike enheter, noe som gjør det enklere å analysere og følge opp. Den kan også støtte avvikshåndtering for å bidra til en mer strukturert tilnærming.

Ledelsesperspektiv - fra teknologi til virksomhet

Et av de største hindrene for et vellykket arbeid er manglende forankring i ledelsen. Dette er noe som er nødvendig for å etterleve NIS2. For å lykkes må du løfte diskusjonen - fra teknologi til virksomhet, understreker Per:

- Et godt råd er å tenke forretningsrisiko i stedet for teknologirisiko. Hvis ledelsen ikke forstår hvordan en sårbarhet i et vedlikeholdssystem kan slå ut inntektsstrømmer - da er det din jobb å kommunisere det. Vis konsekvensene i forretningsmessige termer, i form av tapte kunder, brutte kontrakter, bøter og tapt tillit.

- Tenk også på hvordan budskapet formidles. Bruk riktig visualisering. Unngå lange PDF-filer. Lag i stedet oversiktlige dashbord for ledergruppen. En enkel "rød-gul-grønn" oversikt over risikostatus, tiltaksnivåer og ansvarsområder gir rask forståelse og beslutningsstøtte. Vis også hvordan sikkerheten støtter virksomheten. NIS2 er ikke bare et regelverk, men også en måte å bygge opp virksomhetens motstandskraft på. Organisasjoner som kan takle kriser, er sterkere. Men det krever at innsikt omsettes til handling, og at sikkerhet settes øverst på dagsordenen.

Prisen for passivitet

Det kan være fristende å utsette NIS2-arbeidet når ressursene er knappe. Men kostnaden ved å vente er ofte langt større enn den opprinnelige investeringen. Uten klare rutiner for risikostyring, hendelsesrapportering og leverandørrevisjon øker sårbarheten, både teknisk og kommersielt.

- Det handler ikke bare om risikoen for bøter fra tilsynsmyndighetene. Konsekvensene kan også omfatte avbrudd i virksomheten, tap av kunderelasjoner, tap av tillit fra styret og aksjonærene. Og i verste fall kan det føre til langsiktig skade på merkevaren. I en tid der cybersikkerhet har blitt et ledelsesanliggende, er passivitet ikke lenger et nøytralt alternativ. Det er en strategisk risiko, sier Per.

Navigere smart, lede sterkt

Å lykkes med NIS2 handler derfor ikke om å ha ubegrensede ressurser. Det handler om å fokusere der det gjør størst forskjell. Du må levere tillit, struktur og styring. Og ikke minst bruke verktøy som hjelper deg med å ta kontroll.

- CISO-enes viktigste oppgave fremover? Å prioritere smart, automatisere riktig og vise vei for hele organisasjonen, avslutter Per.

Roadmap for NIS2

  • Identifiser forretningskritiske eiendeler
  • Gjør risiko- og gapanalyse
  • Oppdater prosesser og dokumenter
  • Fordel ansvar og forankre i ledelsen
  • Innfør systematisk oppfølging og automatisering
mint-gradient-hero-banner_Start_blue-1

Vil du lese mer om hvordan du lager et veikart for NIS2? Da anbefaler vi denne artikkelen: Gjør organisasjonen klar for NIS2 - et praktisk veikart