I kjølvannet av Stortingets vedtak om den nye loven om digital sikkerhet, som baserer seg på EU-direktivet 2016/1148 om sikkerhet i nettverks- og informasjonssystemer (NIS-direktivet), reiser spørsmålet seg – hva betyr egentlig dette for bedrifter som omfattes av loven?
For å starte med begynnelsen
Stortinget har vedtatt en ny lov om digital sikkerhet. Loven bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet).
“Loven skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Loven skal også legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser.”
Vel og bra så langt, men hva betyr dette for bedriftene omfattet av loven?
La oss først se hvem som blir omfattet av denne nye loven. Det er:
-
tilbydere av samfunnsviktige tjenester som er etablert i Norge og
-
tilbydere av digitale tjenester som har sitt hovedkontor i Norge.
Loven vil ha sitt virkeområde innenfor sektorene energi, (strøm, olje og gass), transport (Luftfart, jernbane, sjø og vei), helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur (skytjenester, markedsplasser og søkemotorer), Disse vil bli utvidet med innføringen av NIS 2 direktivet – som nok kommer ganske snart.
Når en virksomhet har fastslått at den omfattes av den aktuelle loven, er det to sentrale punkter som er spesielt viktige å ta hensyn til:
For det første har virksomheter innen lovens virkeområde en plikt til å iverksette tiltak for å styrke sin digitale sikkerhet. Dette innebærer at de må etablere egnede prosedyrer, rutiner og teknologiske løsninger for å beskytte sine digitale systemer og data mot trusler og potensielle sikkerhetsbrudd.
For det andre har disse virksomhetene en forpliktelse til å varsle myndighetene ved alvorlige sikkerhetshendelser. Dette betyr at dersom virksomheten opplever en betydelig sikkerhetshendelse som kan få negative konsekvenser, må de umiddelbart informere relevante myndigheter om situasjonen. Denne varslingen er viktig for å sikre en rask og tilstrekkelig respons fra myndighetenes side, samt bidra til å begrense eventuelle skader og beskytte både virksomheten og berørte parter.
Det er avgjørende for virksomheter å følge forpliktelsene, for
-
a) å oppfylle lovens krav og
-
b) håndtere digitale sikkerhetsproblemer effektivt.
Disse forpliktelsene leder virksomheten inn i prosesser for informasjonsstyring, risikohåndtering og håndtering av hendelser. Virksomheten må ha et velfungerende system for informasjonsstyring som beskriver hvordan informasjon skal håndteres, beskyttes og brukes. Det er også viktig å ha tydelige fremgangsmåter for å identifisere, vurdere og håndtere risikoer knyttet til informasjonssikkerhet. Videre er det avgjørende med effektiv håndtering av sikkerhetshendelser, inkludert rask deteksjon og respons ved brudd.
Kontroll over leverandørkjeden er også nødvendig for å sikre at nødvendige sikkerhetsstandarder og retningslinjer følges av virksomhets leverandører. Til slutt må alt dette være forankret hos ledelsen, som må vise engasjement, prioritere informasjonssikkerhet og tilrettelegge for ressurser og tiltak. Gjennom en systematisk tilnærming til disse områdene kan virksomheten redusere risikoen for sikkerhetsbrudd, styrke sin digitale sikkerhetskultur og sikre etterlevelse av regulatoriske krav på området.
Og da kommer spørsmålet!
Har virksomheten det som skal til innenfor ledelsessystem for informasjonsstyring, prosesser for risikostyring og nødvendig hendelses håndtering? -og har virksomheten kontroll på leverandørkjeden sin for informasjonssikkerhet? Har virksomheten de midlene som skal til for å kunne rapportere innenfor fristene som er foreslått på 24 og 72 timer, og en full utredning av hendelsen innen 30 dager?
Sist, men ikke minst er alt dette forankret hos ledelsen? Dette er viktig da loven spesifikt adresserer at ledere er ansvarlige for at tiltak for digital sikkerhet innføres og følges opp.
Alle disse spørsmålene er viktige i forhold til hva som må gjøres innenfor risikobildet og hensiktsmessige sikkerhetstiltak!
Og som en liten bonus, denne loven - sammen med andre kommende lovverk f.eks DORA - har mye sammenfallende løsninger; Slik som å ha ett ledelsessystem for informasjonsstyring (ISMS) basert på ISO27001, ha en systematisk risikostyring basert på ISO 27005 og en dokumentert hendelse håndtering system basert på ISO27035. Så har du ett ledelsessystem på plass er du allerede godt i gang!
Veien videre - vi hjelper deg
Vi i Knowit oppfordrer deg til å ta kontakt med oss for å få en avklaring på om din virksomhet faller inn under Digital Sikkerhetslov, og for å få informasjon om hva du må gjøre videre! Vårt team står klar til å veilede deg gjennom prosessen og svare på eventuelle spørsmål du måtte ha. Ikke nøl med å ta kontakt for å sikre at din virksomhet oppfyller kravene som stilles.
Ved å samarbeide med Knowit på alt som har med digital sikkerhet å gjøre får bedrifter tilgang til en omfattende ekspertise som dekker alt fra ledelsessystemer, juridisk kunnskap og teknisk innsikt. Kombinasjonen av dette gjør at vi effektivt kan sørge for at de tilfredsstiller kravene i den nye loven på en effektiv måte. Knowit vil være en verdifull partner som bidrar til implementering av passende prosesser og verktøy for beskyttelse mot digitale trusler og sikkerhetshendelser.
