Nettverks- og informasjonssikkerhet får alt større betydning i det moderne samfunnet. I dag er det få prosesser som er helt uavhengige av digitale hjelpemidler, store og små virksomheter vil få store problemer ved selv begrensede forstyrrelser i sentrale IT-systemer. Myndighetene har anerkjent dette, det stilles nå alt høyere krav til at arbeidet med nettverks- og informasjonssikkerhet settes i system.
NIS2-direktivet fra EU stiller nye krav til sikkerhetsarbeidet
Gjennom den såkalte digitalsikkerhetsloven vil NIS2 indirekte implementeres i norsk rett. For Norge er bildet imidlertid mer komplekst enn for EU-medlemsland, da direktiver må innlemmes i EØS-avtalen. Helt uavhengig av dette kan det være fornuftig for norske virksomheter å først som sist forholde seg til NIS2, siden det er regelverket som andre europeiske organisasjoner må forholde seg til.
NIS2 stiller på overordnet nivå krav til ledelsens ansvar, risikoanalyse og risikohåndtering, sikkerhetstiltak, kontinuitet i virksomheten og rapportering. For organisasjoner som jobber med for eksempel GDPR, personvern og internkontroll på andre områder bør denne oppdelingen være relativt kjent.
Arbeid med nettverks- og informasjonssikkerhet er relevant for alle
Selv om NIS2-direktivet stiller helt spesifikke krav til arbeidet med informasjonssikkerhet, er selvfølgelig nettverks- og informasjonssikkerhet relevant for de fleste organisasjoner og enkeltpersoner helt uavhengig av regelverk og forordninger. NIS2 har særlig fokus på såkalte «essensielle» og «viktige» sektorer, definert som henholdsvis for energi, transport og finans, samt avfallshåndtering, legemidler og mat og drikke.
Selv om slike bransjer vurderes som å ha størst betydning for samfunnet i stort, betyr det selvfølgelig ikke at organisasjoner i andre bransjer ikke trenger å tenke på nettverks- og informasjonssikkerhet. Et tilsiktet angrep eller utilsiktet driftsforstyrrelse kan få like store konsekvenser for virksomheter i andre bransjer, det vurderes bare som ikke å få like store ringvirkninger for samfunnet i stort. Derfor bør også alle norske virksomheter ta et selvstendig ansvar for å sette arbeidet med nettverks- og informasjonssikkerhet i system.
