Digitalsikkerhetsloven: Hvorfor cybersikkerhet nå er et lederansvar
Hvis styret ditt fikk spørsmålet i morgen – «Kan vi dokumentere at virksomheten oppfyller digitalsikkerhetsloven?» – ville svaret vært ja?
For mange virksomheter er svaret usikkert. Og det er nettopp dette digitalsikkerhetsloven er laget for å endre.
I mange år ble cybersikkerhet betraktet som et teknisk anliggende – noe som hørte hjemme hos IT-avdelingen, CISO-en eller en ekstern leverandør. Så lenge systemene var beskyttet og sikkerhetsverktøyene var på plass, antok mange ledelser at virksomheten var godt nok forberedt.
Digitalsikkerhetsloven, som implementerer EUs NIS2-direktiv i Norge, gjør det klart at dette ikke holder. Cybersikkerhetsrisiko er ikke lenger bare et operativt IT-anliggende. Det er et ledelsesansvar. Ledere, styrer og ledelsesgrupper må forstå hvordan virksomheten er utsatt, hvordan hendelser skal håndteres, og om leverandører og samarbeidspartnere oppfyller de nødvendige sikkerhetskravene.
Antallet cyberangrep øker, kunstig intelligens skaper nye angrepsflater, leverandører blir stadig oftere inngangspunktet, og sensitive data kan raskt havne i feil hender. For nordiske virksomheter er digitalsikkerhetsloven derfor ikke bare nok et samsvarskrav. Det er et tegn på at cybersikkerhet har blitt en sentral del av virksomhetens robusthet.
Et bredere rammeverk for et skiftende trusselbilde
Digitalsikkerhetsloven er særlig relevant for sektorer som bank, finans, transport, digital infrastruktur, operatører, nettverksselskaper og offentlige tjenester. Men en av de viktigste endringene er at virkeområdet strekker seg utover de mest åpenbare leverandørene av kritisk infrastruktur – leverandører til disse er også en del av bildet.
Et selskap som leverer tjenester til en bank, en transportleverandør eller en operatør av kritisk infrastruktur kan nå forventes å oppfylle strengere krav til cybersikkerhet, og kan også måtte støtte rapportering av sikkerhetshendelser. I praksis betyr dette at loven kan berøre virksomheter som ikke umiddelbart ser på seg selv som en del av kritisk infrastruktur, men som likevel betjener kunder som er det. Det påvirker kontrakter, sikkerhet i leverandørkjeden, rapporteringsrutiner, datahåndtering, tilgangsstyring og daglige arbeidsmåter.
Ansvaret kan ikke outsources
Den største endringen handler ikke bare om hva virksomheter må gjøre, men om hvem som må ta ansvar. Ledelsen og styret forventes å sikre at cybersikkerhetsrisiko blir forstått, håndtert og fulgt opp. Det betyr ikke at ledere må bli tekniske eksperter – men de må vite om virksomheten har de riktige prosessene og ressursene på plass: hvilke systemer som er kritiske, hvor sensitive data befinner seg, hvem som har tilgang til hva, og hvilke leverandører som er avgjørende for driften.
Dette gjelder også når IT-tjenester går via eksterne leverandører. En virksomhet kan benytte en leverandør av administrerte tjenester, en skypartner eller en cybersikkerhetsrådgiver – men ansvaret følger ikke med ut. Hvis en leverandør har tilgang til systemer, infrastruktur eller sensitive data, blir leverandøren en del av virksomhetens risikobilde. Oppgaver kan delegeres. Ansvaret kan det ikke.
Leverandørkjeden er en del av angrepsflaten
Flere av de største cyberhendelsene de siste årene har startet hos en tredjepartsleverandør, ikke hos hovedorganisasjonen selv. Da blir spørsmålet ikke bare hvor godt du beskytter dine egne systemer, men hvor godt du kjenner risikoen i kjeden rundt deg.
«Leverandører og underleverandører blir ofte inngangspunktet – derfor må man ha kontroll over hele kjeden, ikke bare sin egen organisasjon», sier Robin Frantzen, Business Development Manager i NetNordic.
Et selskap kan ha god intern sikkerhet, men likevel være utsatt for risiko gjennom en leverandør, en supportprosess eller et dårlig styrt skymiljø. Det er derfor digitalsikkerhetsloven stiller større krav til virksomheter om å forstå og håndtere sine leverandørkjeder. For virksomheter som leverer til finans, transport, offentlige tjenester eller digital infrastruktur, kan modenhet innen cybersikkerhet bli et forretningsmessig krav – kunder vil i økende grad etterspørre dokumentasjon og bevis på at leverandørene oppfyller deres forventninger.
Hvordan vet du om dere er klare?
De fleste virksomheter mangler ikke teknologi. De mangler oversikt.
Derfor starter mange virksomheter med en modenhetsvurdering som kartlegger styring, prosesser, leverandører, tilgangskontroll og hendelseshåndtering. En slik vurdering gir ledelsen et konkret utgangspunkt: hva er allerede på plass, og hvor er de viktigste gapene som bør tettes først?
AI og skygge-IT gjør oversikt enda viktigere
Kunstig intelligens gjør det billigere og enklere å skalere visse typer cyberaktivitet. Angripere kan bruke automatisering til å identifisere utsatte systemer, teste påloggingsopplysninger og lete etter sårbarheter. Samtidig tar ansatte i bruk AI-verktøy og skytjenester i raskt tempo – ofte før virksomheten har klare retningslinjer for bruken av dem.
«Skygge-IT og ukontrollert bruk av AI-verktøy er en av de største utfordringene – fordi man mister oversikten over hvor dataene faktisk havner», påpeker Frantzen.
Sensitiv informasjon kan bli lagt inn i ikke-godkjente verktøy. Data kan bli behandlet i miljøer utenfor virksomhetens kontroll. For enkelte virksomheter kan dette innebære at det må utpekes et klart ansvarsområde for AI og nye teknologier. Hvis ingen har ansvaret for verktøyene, er det heller ingen som har ansvaret for risikoen.
Sikkerhet i det daglige arbeidet
Digitalsikkerhetsloven påvirker ikke bare retningslinjer og diskusjoner på styrenivå – den påvirker den daglige atferden. Ansatte må bli mer bevisste på hvilke verktøy de bruker og hvilken informasjon de deler. Mange virksomheter sender fortsatt sensitive dokumenter som vedlegg i e-post, selv når sikrere metoder finnes.
Tilgangsstyring er et annet sentralt område: virksomheten må vite hvem som har tilgang til hvilke systemer, hvorfor, og om tilgangen fortsatt er nødvendig. Og opplæringen må bli mer praktisk orientert – ansatte og ledere må forstå realistiske scenarier som mistenkelige e-poster, uvanlige tilgangsforespørsler og hendelser knyttet til leverandører eller ikke-godkjente AI-verktøy.
Den største feilen er å vente
En vanlig feil er å behandle digitalsikkerhetsloven som noe man kan ta tak i senere. Mange virksomheter gjorde det samme med GDPR, og tok først grep da håndhevelse og bøter ble en realitet. Å vente kan bli kostbart – bøter, krav fra kunder, driftsforstyrrelser, omdømmeskade eller tap av markedsadgang. Viktigst av alt: svak cybersikkerhet kan utsette sensitive data for fare og påvirke virkelige mennesker.
En annen vanlig feil er å behandle loven som et IT-prosjekt. Hvis ledelsen ikke engasjerer seg, kan virksomheten ende opp med tekniske tiltak uten reell styring. Retningslinjer finnes på papiret, men ikke i praksis. Virksomheter som forbereder seg tidlig, vil stå sterkere – ikke bare overfor tilsynsmyndigheter, men også overfor kunder, partnere og ansatte.
Kontroll, ikke compliance
Digitalsikkerhetsloven handler ikke først og fremst om compliance. Det handler om kontroll.
Kontroll over dataene. Kontroll over leverandørene. Kontroll over hvem som har tilgang. Og kontroll over hvordan virksomheten reagerer når noe går galt.
Spørsmålet er ikke om virksomheten din blir vurdert. Spørsmålet er om du kan dokumentere at du har kontroll når det skjer.
Lurer du på hvor godt forberedt din virksomhet er på digitalsikkerhetsloven? Book et møte med NetNordic, og la oss ta en prat om hvor dere står i dag, og hva som bør prioriteres først.
Innholdsfortegnelse
Innholdsfagskategori
Innholdstype
Relatert innhold
DAS, PABX-segregering og CCTV offshore
Telekommunikasjon offshore: hva som skiller seg fra landbasert infrastruktur
Advokatfirmaet trodde de var sikret.
Telekommunikasjon for kritisk infrastruktur
OT-kontroll handler ikke bare om sikkerhet
Fra vurdering til etterlevelse: slik bygger du OT-modenhet i praksis
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!