NIS2 handler om hva det er verdt å beskytte
Med det nye NIS2-direktivet rett rundt hjørnetprøver mange virksomheter å krysse av i «sikkerhetsboksene» de trenger for åoverholde det. Men den beste måten å starte på er å forstå hva som faktisk erverdt å beskytte i virksomheten, sier Arno van den Hof, Managing Director forJunglemap Benelux.
Det finnes rett og slett ingen fasit for hvordanvirksomheter kan overholde NIS2-direktivet. Alt avhenger av hvorsikkerhetsmoden virksomheten er, og hvilke interesser som virkelig er verdt åbeskytte.
En god start er å bruke de de utmerkede trinnviseveiledningene fra det nederlandske Nationaal Cyber Security Centrum. Jeg tror mange virksomheter kan ha nytte av ågjøre «NIS2-leksen» sin grundig. Ikke bare ved å gjøre sikkerheten bedre, menogså ved å få en bedre forståelse av hvordan de kan kartlegge hva de børbeskytte, og hvor sårbar driften er for digitale forstyrrelser.
Cybersikkerheter ikke et IT-spørsmål
Hvis sikkerhetsekspertene klarer å få toppledelsen med på laget ogbegynner å stille de rette spørsmålene, håper jeg at NIS2 kan endre hvordanvirksomheter ser på cybersikkerhet: ikke som et «IT-spørsmål», men som eninvestering som sikrer hele driften.
Den beste tilnærmingen til NIS2-direktivet er atman først definerer virksomhetens strategiske mål. Deretter må man kartleggehva virksomheten trenger for å nå disse målene.
Forhåpentligvis har toppledelsen allerede en klaridé om dette. Men min erfaring er at mange virksomheter fortsatt har et stykkeigjen når det gjelder å forstå hvordan nivå to (mål) er en forutsetning fornivå tre (støttende prosesser og sikkerhet).
Et enkelt verktøy gir innsikt
Bare det å bruke en enkel modell (lånt fra det nederlandske NCSC) somutgangspunkt, tror jeg vil gi de fleste virksomheter et bedre utgangspunkt iarbeidet med NIS2-etterlevelse.
Fellesforståelse er nøkkelen
I siste instans krever dette at sikkerhetseksperter og toppledelse delerden samme forståelsen – av hva cybersikkerhet er, og hvilken avgjørenderolle det spiller for hele virksomheten.
Sikkerhetsekspertene må slutte å mate styrer og ledelse med for mange tall ogteknisk sjargong. Det skaper bare avstand og usikkerhet.
Å gå fra «IT-risiko» til «forretningsmuligheter»(eller «forretningsrisiko» for den saks skyld) er det rette for den som viloverbevise styret om at prosedyrene og tiltakene som følger med NIS2, er tilnytte for hele virksomhetens drift og strategiske mål.
Vi må med andre ord slutte å omtale NIS2 bare som«et nytt og strengere cybersikkerhetsdirektiv» og heller begynne å snakke omdet som en investering i virksomhetens kjerneaktivitet.
