Nytt direktiv kan gi økt digital sikkerhet

Vi har gjentatte ganger sett cyberangrep som forstyrrer eller lammer virksomheter. Kommunenes kritiske tjenester er intet unntak.

Det nye EU-direktivet om digital sikkerhet, NIS 2, adresserer denne utfordringen. Direktivet etablerer strengere cybersikkerhetskrav og skal fremme en kultur for økt bevissthet og beredskap rundt cybersikkerhetstrusler.

NIS 2-direktivet ble vedtatt i desember 2022. Innen 24. oktober 2024 skal EU-landene ha gjennomført direktivet i nasjonal rett. Fra dette tidspunkt oppheves gjeldende NIS 1-direktiv.

NIS 2 er omfattende og berører mange ulike samfunnssektorer. Det utvider virkeområdet sammenlignet med det nåværende NIS-direktivet, ved å innlemme flere sektorer som anses som kritiske for både økonomien og samfunnet.

Videre skjerpes kravene til virksomhetenes risikovurdering av nettverks- og informasjonssystemer, og det innføres mer presise rapporteringskrav.

Med en utvidet definisjon av hvilke sektorer og tjenester som anses som kritiske, vil flere norske kommuner nå falle inn under direktivets omfang. Dette betyr ikke bare en forpliktelse til å oppfylle strengere sikkerhetskrav, men også en mulighet til å revurdere og styrke eksisterende cybersikkerhetsstrategier.

Implementeringen av NIS 2-direktivet vil utvilsomt medføre utfordringer for kommunene, særlig med tanke på ressursbehov og kompetanseoppbygging. Mange vil trenge å investere i både teknologi og opplæring for å møte de nye kravene.

Samtidig åpner NIS 2 for betydelige muligheter: Ved å styrke cybersikkerheten kan kommunene beskytte seg mot cybertrusler, kombinert med å bygge tillit hos innbyggerne ved å demonstrere en forpliktelse til å beskytte deres data og sikre kontinuitet i tjenesteleveransen.

For kommuner representerer NIS 2-direktivet en katalysator for endring. Det er en oppfordring til å ta cybersikkerhet på alvor, ikke bare som et teknisk anliggende, men som en integrert del av den offentlige forvaltningens ansvar overfor sine innbyggere.

For å lykkes med implementeringen bør kommunene:

• Vurdere eksisterende sikkerhetspraksiser mot NIS 2-kravene.
• Investere i kompetanse ved å lære opp ansatte og rekruttere cybersikkerhetseksperter.
• Samarbeide på tvers av kommunegrensene og med nasjonale myndigheter for å dele kunnskap og beste praksiser.
• Prioritere cybersikkerhet i alle ledd av kommunens virksomhet og tjenesteleveranse.

Det er også viktig å legge på minnet at du ikke lenger kan delegere bort ansvaret ditt, enten du er kommunedirektør, økonomidirektør, HR-sjef eller sitter i ledelsen. Tidligere har man kunnet delegere ansvar og si «Ja, vi har tatt hånd om det, ikke sant?» – og muligens sett i retning av personvernombudet eller IT-sjefen.

NIS 2 sier klart og tydelig at ledelsen ikke kan delegere bort sitt ansvar, men at alle må ta sitt ansvar og forstå hva de har ansvar for. Hvis du ikke tar, og forstår, ditt ansvar, kan det bli utstedt bøter. Tilsynsmyndigheten vil gå til kommuneadministrasjonens øverste leder og spørre «Har du oversikt over dette». Da kan hen ikke si «Ja, det tror jeg. Jeg må sjekke med …» Det er ikke lenger tilstrekkelig med det nye direktivet.

For norske kommuner er NIS 2 mer enn bare et nytt regelsett; det er en veiviser mot en sikrere og mer motstandsdyktig fremtid i møte med det digitale samfunnets utfordringer.

Ved å omfavne de mulighetene og utfordringene NIS 2 bringer med seg, kan kommunene sikre at de fortsetter å levere kritiske tjenester på en sikker og effektiv måte, til beste for alle innbyggere.

NIS 2 bør ikke ses på som en byrde, men som en investering i vår felles digitale fremtid.