NIS2 flytter IT-sikkerhet opp på toppledernes bord

– NIS2 er et enormt løft. Før ble sikkerhet ofte sett på som noe “IT må fikse”. Nå blir det regulert av loven og forankret i styret. Det handler om ledelse, sier Jacob Järte, IT-direktør i Atea.

Järte viser til at direktivet flytter IT-sikkerhet opp på toppledernes bord. Det er ikke IT-avdelingen som skal avgjøre om folk må sendes hjem eller om forretningen kan drives videre om et angrep inntreffer.

– Dette er det vi i ledelsen som må ta stilling til. Vi må kunne svare på: Hvem tar beslutningen hvis systemene går ned? Hva gjør vi da? Har vi alternative rutiner? Dette er ingen IT-beslutning, det er en forretningsbeslutning, sier han.

Atea har selv tatt konsekvensene av dette. Hele konsernledelsen har fått opplæring i NIS2 og står ansvarlig for risikostyringen. Ettersom sikkerhet alltid har vært en del av DNA-et i Atea, har det ikke vært den største omveltningen, men Järte understreker viktigheten av å snakke om det: Sikkerhet er nå et fast punkt på agendaen i ledermøter, og det rapporteres kvartalsvis til konsernledelsen.

En sunn sikkerhetskultur krever mer enn teknologi

God risikoforståelse for Järte, er å gå fra å tenke “hva hvis en meteoritt faller ned på kontoret vårt” til å identifisere realistiske, sannsynlige og alvorlige scenarioer.

Det handler om styrt beslutningstaking: Hva slags risiko er du villig til å ta? Når går du over en grense? Ledergruppen må ha en felles forståelse for hvilken risiko virksomheten faktisk lever med, og hva du vil gjøre med det.

Han advarer mot å være naiv. Angrepene mot norske virksomheter er ofte målrettede, avanserte og det er menneskene, ikke teknologien, som feiler.

– Dette er baksiden av kunstig intelligens. Svindel har blitt ekstremt avansert med AI. Du kan bli ringt opp av det du tror er barnebarnet ditt, med helt riktig dialekt, men så blir du lurt av svindlere til å oppgi kortnummer og PIN-kode, sier han.  

Og nettopp der ligger kjernen: den vanvittig raske teknologiutviklingen. Folk flest klarer ikke skille såkalte deep fakes fra hva som er ekte. Det florerer av AI-genererte bilder, videoer og tekster overalt. Og alt dette gjør oss enklere å lure, også når vi er på jobb.

Derfor handler ledelse om å kommunisere risiko på en forståelig måte, trene ansatte og bygge en kultur som gjør det naturlig å tenke sikkerhet i det daglige. Uten å skape frykt for å gjøre feil, mener Järte.

– Vi må trene på disse tingene. Vi må kunne kjenne igjen når en deep fake-video av sjefen sirkulerer. Eller når noen kloner stemmen hennes for å få en falsk faktura utbetalt.

Han peker på hvordan trusselbildet har endret seg fra dårlig formulerte Nigeria-brev og e-poster til IT-kriminalitet og profesjonelt bedrageri i stor skala. Dette krever mye av både ledere og myndigheter.

– Akkurat nå kommer det ekstremt mye fra svindelfabrikkene i Sørøst-Asia. Vi må få opp kunnskapen om dette i norsk arbeidsliv, og staten må følge opp AI-strategien med bedre rammebetingelser for digital infrastruktur. Norge kan bli verdensledende med både grønn strøm og trygge datasentre, sier han.

Et kollektivt sikkerhetsløft gagner både deg og fellesskapet

Järte mener at arbeidet med NIS2-kravene er en gylden mulighet for å få orden på både dokumentasjon og rolleavklaringer, og til å sikre forretningskontinuitet i virksomheten.

Og det finnes gode løsninger.

Det å få på plass et sikkerhetsoperasjonssenter (SOC) hjelper organisasjonen med å overvåke, oppdage og respondere på sikkerhetstrusler i sanntid. Dette kan enten være noe du etablerer internt eller kjøper inn som en tjeneste. Overvåkning og håndtering i sanntid er avgjørende for å forberede deg på sikkerhetsangrep.

Han forteller at en slik tjeneste også bidrar til å opplyse resten av organisasjonen om hva som skjer. Det å dele og lære fra tidligere hendelser og angrep, er gull verdt.

Han avslutter med en oppfordring:

– Du må også sørge for å dokumentere alt du gjør. God dokumentasjon er en investering som gjør at deg i stand til å ta beslutninger basert på reell risiko. Bruk kravene i NIS2-direktivet til å gjøre virksomheten din tryggere, mer robust og konkurransedyktig. Det er nå du har muligheten til å bli med på et enormt kollektivt sikkerhetsløft, som gagner både deg og fellesskapet, sier han.