}

Blogginlägg

Vad NIS2 avslöjar om organisationens styrning

city-overview

Hur håller styrningen ihop när kraven skärps? Med NIS2 flyttar informationssäkerhet högre upp på ledningens agenda. För många organisationer innebär det ett stresstest av hur väl risk, kontroll och ansvar hänger ihop. Enligt Christopher Läns, GRC-expert på Stratsys, ligger lösningen i en styrmodell som håller över tid.


Många organisationer inom både industri och offentlig sektor känner av det ökande trycket från nya regelverk. NIS2 och DORA innebär nya krav på incidenthantering, leverantörsstyrning, kontinuitet och rapportering. Samtidigt flyttas ansvaret längre upp i organisationen, vilket inte minst blir kännbart för ledning och styrelse.

För ledning och styrelse blir frågan snabbt större än informationssäkerhet. Det handlar ytterst om organisationens förmåga att sätta tydliga krav, följa upp dem och säkerställa att styrningen fungerar i praktiken.

Regelverk som blottlägger sprickorna

Christopher Läns arbetar med GRC- och informationssäkerhetsfrågor på Stratsys. Han möter ofta organisationer som befinner sig mitt i denna förflyttning. Och det finns ett mönster som återkommer när det gäller hur nya regelverk tas emot.

- Den naturliga impulsen är ofta att starta ett separat initiativ. Att tillsätta en arbetsgrupp, etablera nya processer och se över sitt verktygsstöd. Det är förståeligt, men det riskerar också att förstärka ett strukturproblem som redan fanns i organisationen, säger Christopher.

Riskerna i regelverk som NIS2 är ofta inte nya i sig. Det är ett faktum att många organisationer redan arbetar med incidenthantering, leverantörsrisk, åtkomststyrning och kontinuitetsplanering. Snarare synliggör regelverken hur dessa frågor hanteras och om styrningen verkligen hänger ihop.

Christopher-Lans-GRC-Lead-Stratsys
Christopher Läns, GRC Lead, Stratsys

Parallella spår i riskarbetet

Hur bör man då till exempel som ett svenskt industribolag agera när ett nytt regelverk introduceras? Det naturliga kan vara att starta särskilda arbetsgrupper och etablera ny rapportering. Det kan signalera handlingskraft och visa att frågan tas på allvar.

- ­När organisationen svarar på ett externt krav med ännu ett arbetsflöde förstärker man i praktiken en fragmentering som redan finns. Konsekvensen av överlappningen kan bli att samma risk hanteras flera gånger, säger Christopher.

Konsekvensen av överlappningen kan bli att risk hanteras flera gånger, till exempel om samma leverantörsrisker redan följs upp av inköp och IT. Eller om incidenter redan hanteras inom informationssäkerhet. Kanske finns kontinuitetsrisker redan i verksamhetens befintliga riskarbete.

När NIS2 läggs ovanpå detta skapas ytterligare ett lager av processer, rapportering och ansvar. Det får snabbt konkreta konsekvenser i form av att:

  • Samma risk följs upp i flera processer.
  • Flera funktioner efterfrågar samma information.
  • Rapporteringsunderlag skiljer sig åt.
  • Ansvar blir otydligt mellan funktioner.
  • Beslutsunderlag fragmenteras.

Kostnaderna för vägvalet märks sällan direkt. Det visar sig över tid i form av ökad komplexitet, mer administration och en svårighet att prioritera när nästa krav kommer. Regelverk som NIS2 blir en tydlig spegel av organisationens befintliga styrmodell.

När styrningen håller

Att uppfylla regelverk är inte detsamma som att bygga en styrmodell som håller över tid. Det blir extra tydligt när nästa krav träder i kraft, när en större kund ställer nya frågor om cybersäkerhet eller när styrelsen vill förstå organisationens motståndskraft.

Nyckeln är att hitta sätt att stärka den övergripande strukturen. Annars kommer samma utmaning att uppstå igen när nästa regelverk ska hanteras eller nästa revisionskrav kommer in i organisationen.

Christopher menar att de organisationer som har kommit längst sällan organiserar sig utifrån varje enskilt regelverk, utan utgår från de underliggande riskerna.

- Först när samma kontroll kopplas till flera regelverk, affärsrisker eller rapporteringskrav kan strukturen börja skapa verkligt värde, säger Christopher.

Det är också här värdet av en gemensam struktur och ett sammanhållet systemstöd blir tydligt. När risk, kontroll och ansvar hänger ihop över tid kan nya krav integreras i samma modell, i stället för att skapa nya processer och ytterligare administration.

Värdet av rätt struktur

En gemensam struktur handlar inte om att förenkla verkligheten, utan om att organisera den så att risk, kontroll och ansvar kan hållas samman över tid. Om risker som leverantörsberoende, incidentberedskap, åtkomst och identitet, kontinuitet och dataskydd följs upp separat ökar komplexiteten snabbt. Det leder inte bara till mer administration, utan också till en försämrad helhetsbild.

Detsamma gäller omvänt, när samma kontroll definieras en gång och används för flera regelverk. Organisationen får då ett mer sammanhållet arbetssätt som frigör resurser. Samma data kan användas i flera sammanhang, ansvar blir tydligare och uppföljningen bygger på jämförbara underlag. På så sätt går det att:

  • Skapa en samlad bild av riskläget.
  • Prioritera åtgärder utifrån helheten.
  • Minska dubbelarbete i verksamheten.
  • Tydliggöra ansvar och eskalering.
  • Fatta beslut på jämförbara underlag.

Strukturen blir ett konkret beslutsstöd för ledning och verksamhet när det gäller allt från prioritering av investeringar till incidentberedskap och leverantörsrisker.

Regelverket som katalysator

Skillnaden blir extra tydlig om man beaktar hur det kan gå till. Christopher beskriver hur nya lagkrav kan leda till att projekt kan startas upp och investeringar görs för att hantera uppföljning och dokumentation. Tre månader senare kan det dock visa sig att samma leverantörsrisk redan följs upp av IT, riskfunktionen och internrevisionen. Samtidigt har verksamheten en separat process för kontinuitetsrisk.

Plötsligt sitter organisationen med fyra olika spår för att hantera vad som i stort sett är samma underliggande risk.

- I ljuset av nya lagkrav blir det tydligt att det krävs en struktur som håller över flera regelverk. På så sätt kan regelverk som NIS2 fungera som katalysator för organisationen. De synliggör hur fragmenterad styrningen redan var, säger Christopher.

Strategifråga snarare än resursfråga

Det som utmärker organisationer med högre mognad är sällan mängden resurser, utan hur arbetet hänger ihop. En gemensam modell för risk och kontroll skapar en struktur som håller även för framtida regelverk. Det stärker både den operativa förmågan och ledningens beslutsfattande. På så sätt går det att bygga en styrning som håller över tid.

Frågan är därför inte i första hand om ni uppfyller NIS2. Den verkliga frågan är vad kraven avslöjar om hur robust organisationens styrning faktiskt är.

Läs mer om hur Stratsys kan hjälpa er organisation med informationssäkerhetsarbetet.