<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Dette sier ekspertene om den nye sikkerhetsloven

at-stake-blogg ‹ Tilbake til artikler

Hva er nytt i den nye sikkerhetsloven og hva innebærer det for norske virksomheter?
Vi har samlet PwCs fremste fageksperter for et helhetlig perspektiv på det nye lovverket.

Økt digitalisering fører til større angrepsflater og mer sofistikerte trusselaktører. Lov om nasjonal sikkerhet, bedre kjent som sikkerhetsloven, skal bidra til å beskytte Norge bedre, også mot dataangrep. Det nye lovverket som trådte i kraft 1. januar 2019, representerer en dreining fra fysisk sikkerhet og objektfokus over til logisk sikring og informasjonssystemer. Denne tilnærmingen er bedre tilpasset samfunnet vårt. Samtidig omfatter ny lov flere virksomheter enn tidligere og det stilles strengere krav.

Dynamiske og fleksible regler betyr strengere virksomhetskrav

“I den nye sikkerhetsloven ser vi et større fokus på samfunnssikkerhet, statssikkerhet og hvordan man benytter lovregulering som en viktig del av det forebyggende nasjonale sikkerhetsarbeidet.”

Det sier Pål K. Lønseth, Partner i PwC Norge og leder for Gransking og Compliance. Lønseth har bakgrunn som statssekretær i Justis- og beredskapsdepartementet, med ansvar for et bredt spekter av temaer innenfor justissektoren.

Hvordan vil den nye sikkerhetsloven påvirke norske virksomheter/hva vil den nye sikkerhetsloven bety i praksis for norske virksomheter?

Den nye sikkerhetsloven gjelder for langt flere offentlige og private virksomheter nå enn før. Dynamiske og fleksible regler betyr høyere krav til ledere om å ta gode vurderinger om styringsrisiko for å beskytte sikkerhetsgradert informasjon og objekter. Det krever kunnskap og kompetanse.

Lønseth legger til at minstekravet i loven er regelmessige risikovurderinger og kriseøvelser. Resten er opp til virksomhetens leder som har ansvaret for det forebyggende sikkerhetsarbeidet.

Sikkerhetsloven bidrar til å redusere samfunnets digitale sårbarhet

Terje Vernholt, direktør i PwCs Cybersecurity og Privacy, leder PwCs team for sikkerhetsstyring og risiko.

Den nye sikkerhetsloven med forskrifter og veiledninger er et svært godt grunnlag for å etablere god cybersikkerhet i virksomhetene som er underlagt loven. Men feiler man i tilnærming risikerer man at etterlevelsen blir unødvendig kompleks, sier Vernholt som tidligere har etablert og ledet operative sikkerhetsfunksjoner i forsvarssektoren og kraftsektoren.

Hvordan synes du cyberperspektivet blir reflektert i den nye sikkerhetsloven?

Den nye loven med forskrift og veiledninger er i stor grad tilpasset det som er “best practice” for informasjonssikkerhet i en virksomhet. Det meste av det en virksomhet pålegges i den nye sikkerhetsloven er i tråd med hvordan vi vil anbefale å ta kontroll over og styre cybersikkerhet i virksomheten. Denne friheten til å selv etablere tilfredsstillende sikkerhet stiller forøvrig krav til kvalitet i sikkerhets- og risikostyringsarbeidet i virksomheten. Dette er kompetansekrevende, og i de tilfeller vi har vært inne i virksomheter der det har gått galt er det jo nettopp innenfor disse områdene vi finner rotårsak, både til at hendelsene har oppstått og til at konsekvens av hendelsen har blitt stor.

Hva tror du vil være den største metodiske utfordringen for norske virksomheter mtp. den nye sikkerhetsloven?

Den største utfordringen kommer for de virksomhetene som ikke tidligere har vært underlagt loven. Loven krever en metodisk tilnærming og etablering av sikkerhet som en del av virksomhetsstyringen. Det handler ikke om teknologi, men commitment og oppfølging fra ledelse. Det er krevende.

En av utfordringene vi allerede ser er forståelsen av begrepet “understøtter” i NSMs veileder. Virksomheter som har funksjoner som defineres som en grunnleggende nasjonal funksjon (GNF) vil kanskje tro at bestemmelsene kun gjelder systemer som direkte er involvert i den grunnleggende nasjonale funksjonen. Men det er jo selvfølgelig nødvendig å sikre alle systemer som kan påvirke sikkerheten i disse systemene også. Alternativet vil være å etablere barrierer rundt systemene direkte tilknyttet GNF for å sikre at hendelser i øvrig infrastruktur ikke sprer seg til kritiske systemer. Dette kan imidlertid kreve store kostbare endringer i infrastrukturen og føre til økende kompleksitet og begrensninger i muligheter. En viktig oppgave er derfor å lage en sikkerhetsarkitektur som beskriver scope for GNF og gir mulighet for fleksibilitet og ikke fører til at systemer unødvendig underlegges omfattende sikkerhetskrav.

Forøvrig er en god dose pragmatisme og en målsetning om “godt nok” alltid et godt utgangspunkt for etablering av styringssystemer. Det handler ikke om hvor tykk dokumentbunken er, men om man klarer å endre adferden til de ansatte.

Strengere krav til bakgrunnsundersøkelser

Mats Ruge Holte, direktør i PwCs granskingsenhet med fagansvar innenfor sikkerhet, beredskap og krisehåndtering, mener den nye sikkerhetsloven pålegger virksomheter strengere krav til bakgrunnsundersøkelser.

“Nye trusler gir endringsbehov og den nye sikkerhetsloven reflekterer dette. Det krever at virksomheter må styrke fokuset på alle former for sikkerhet; IKT-sikkerhet, driftssikkerhet, sikring av objekter og systemer, sikkerhet mot spionasje og sabotasje for å nevne noe” sier Holte.

Holte bistår en rekke større virksomheter med å bygge og utvikle beredskapsorganisasjoner. Holte er blant PwCs fremste eksperter innen risikoanalyser, beredskaps- og kontinuitetsplaner, kurs og øvelser, og ulike typer evalueringer.

Hva mener du er det viktigste i den nye sikkerhetsloven sett fra ditt perspektiv?

I den nye sikkerhetsloven er det strengere krav til bakgrunns­sjekk av nye ansatte og under­leverandører. Nå har virksomheter en plikt å påse at deres leverandører etterlever bestemmelsene om informasjonssikkerhet. Dette er viktig å ta tak i for selskapenes egen sikkerhet og omdømme, og kan samtidig være krevende for mange å komme godt i gang med.

Hva bør din virksomhet gjøre videre?

Det tverrfaglige PwC-teamet har følgende umiddelbare anbefalinger til norske virksomheter som enten er underlagt sikkerhetsloven eller i en prosess der de vurderer om de er underlagt den nye sikkerhetsloven:

  • Hvis din virksomhet er utpekt som understøttende virksomhet til en grunnleggende nasjonal funksjon (GNF), så må det gjennomføres en skadevurdering. Et avgjørende steg i denne prosessen er å identifisere konkrete objekter og infrastrukturer som understøtter den funksjonen virksomheten skal opprettholde for å ivareta GNFen. Nøkkelen her er å trekke på relevante nøkkelpersonene i virksomheten for å få til en god systemkartlegging.
  • I prosessen med å gjennomføre en skadevurdering, er det i noen tilfeller enklere å lage scenarioer for å vurdere hvordan bortfall, delvis bortfall og rettsstridig overtakelse av funksjon påvirker GNF.
  • Krav fra den nye sikkerhetsloven kan fungere som en støtte eller en mulighet for sikkerhetsledere i ulike virksomheter til å få nødvendige ressurser til å få på plass risikostyring, risikoreduserende tiltak og godt sikkerhetsarbeid.
  • PwC kan bistå med å utarbeide gode beslutningsgrunnlag og kommer med anbefalinger på hva som er et forsvarlig sikkerhetsnivå. Vi samarbeider tverrfaglig for å sikre helhetlige vurderinger. I fellesskap sikrer vi best mulig resultat.
Maren Maal

Maren Maal

Jeg heter Maren Maal og jobber som Manager i PwCs Granskingsenhet. Før jeg kom til PwC arbeidet jeg som forsker i fem år ved Forsvarets forskningsinstitutt (FFI). Jeg forsket på ulike temaer knyttet til risiko, spesielt risikovurderingsmetodikk og risikostyring. Risiko er et hett område og har vært svært omdiskutert de siste årene. For norske og internasjonale virksomheter kan en mer bevisst holdning til risiko gi et økt mulighetsrom for å bedre virksomhetsstyring og ledelse. Som en risikonerd synes jeg dette er veldig spennende og viktig og vil derfor blogge jevnlig om dette fremover. Hvis du har synspunkter eller spørsmål, så blir jeg glad for å høre fra deg!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Innsidetrussel ved nedbemanning i forbindelse med Covid-19

Mange virksomheter må permittere for å overleve Covid-19. De trenger likviditet for å unngå konkurs, og permittering er siste utvei. Det er ...

Les artikkelen
Les artikkelen

Tåler virksomheten en sikkerhetshendelse nå?

COVID-19-pandemien er den mest alvorlige krisen som har rammet verdenssamfunnet siden andre verdenskrig, og den er først og fremst en krise ...

Les artikkelen
Les artikkelen

Hva bør du gjøre de første 24 timene etter en destruktiv cyberhendelse?

I løpet av de siste årene har destruktive cyberhendelser blitt stadig vanligere. Løsepengevirus, også kjent som ransomware, har gått fra å ...

Les artikkelen