Akkurat nå skjer det et skifte i hvem som bør sitte ved roret når det gjelder cybersikkerhet. Med NIS2-direktivet flyttes ansvaret lenger opp i organisasjonshierarkiet, IT får en ny rolle, og enkeltpersoner er i økende grad utsatt for risiko. Slik ser de nye ansvarsområdene ut - og slik bør organisasjonen din tilpasse seg det nye cybersikkerhetslandskapet.
Cybersikkerhet er ikke lenger bare IT-avdelingens ansvar
I dag ser vi en trend der ansvaret for cybersikkerhet i økende grad flyttes over til ledelsen og styret, i stedet for å være IT-avdelingens ansvar slik det var tidligere. Cybertruslene har endret seg betydelig i art og kompleksitet, noe som gjør det nødvendig for ledelsen å involvere seg i større grad. Nye forskrifter stiller strengere krav, samtidig som organisasjonene får en større forståelse for hva cybersikkerhet faktisk betyr for virksomhetens overordnede risikostyring.Hvorfor har ansvaret flyttet seg til ledelsen?
Hovedårsaken til at ledelsen og styret har fått et større ansvar, er at cybertruslene har blitt stadig mer alvorlige og hyppige - noe som i sin tur er preget av utviklingen av stadig strengere regelverk. Tilsynsmyndighetene krever nå mer åpen rapportering om selskapenes cybersikkerhetsstrategier og styrets kunnskap. Dette omfatter blant annet krav om å opplyse om hvorvidt styret har styremedlemmer med ekspertise innen cybersikkerhet, og hvordan det tar hensyn til cybertrusler i den overordnede forretningsstrategien. Kravene øker presset på selskapet til å gjennomgå cyberrisiko og håndtere det rutinemessig.
En sterk sikkerhetskultur er også avgjørende for å forebygge og håndtere hendelser - og her blir det tydelig at toppledelsens engasjement er avgjørende for å påvirke hele organisasjonens evne til å håndtere hendelser. Samtidig har kunder, investorer og andre interessenter høyere forventninger til hvordan selskaper håndterer og beskytter sensitive data. Styret har derfor også et ansvar for å sikre at organisasjonen oppfyller disse forventningene, for å beskytte merkevaren og tilliten.
3 elementer i NIS2-direktivet som fremhever ledelsens nye rolle
NIS2-direktivet er en oppdatering av EUs rammeverk for nettverks- og informasjonssikkerhet, som har som mål å styrke cybersikkerheten i unionen. Hvis en organisasjon ikke overholder reglene, kan den bli ilagt store bøter, basert på den globale omsetningen. NIS2-direktivet fastsetter tydelig de nye kravene til ledelsens engasjement og ansvar:1. Direkte ansvar for risikostyring:
Ledelsen må nå være direkte involvert i og ansvarlig for å identifisere og håndtere praktiske elementer av cybersikkerhet, inkludert risikostyring og motstandsdyktighet. Ledelsen må ha en inngående forståelse av direktivet og sørge for at organisasjonen er godt rustet for å etterleve kravene.
2. Implementering av forebyggende og risikoreduserende tiltak:
Organisasjoner må håndtere risiko gjennom både forebyggende og risikoreduserende tiltak. Dette omfatter for eksempel hendelseshåndtering, cybersikkerhet gjennom leverandørkjeden, nettverkssikkerhet, tilgangskontroll og kryptering. Ledelsen er ansvarlig for å sikre at disse tiltakene er tilstrekkelige til å redusere risikoen for og konsekvensene av cyberhendelser.
3. Rapportering og forretningskontinuitet:
Organisasjoner må ha prosesser på plass for å kunne rapportere til myndighetene på riktig måte og sikre at de kan fortsette driften etter et større cyberangrep. Dette inkluderer systemgjenoppretting, nødprosedyrer og etablering av en kriseorganisasjon. Ledelsen er ansvarlig for å sikre at de fleste hendelser rapporteres innen 24 timer, og at det finnes prosedyrer for å raskt få flyten i gang igjen. NIS2 skal implementeres i nasjonal lovgivning fra oktober 2024.
Hvordan enkeltpersoner kan straffes for brudd på cybersikkerheten
Regulerende myndigheter og lovgivere legger nå mer og mer ansvar på enkeltpersoner i ledelsen. Målet er å oppnå en høyere grad av proaktivitet i håndteringen av cybertrusler, og å sikre at organisasjoner har integrert de nødvendige sikkerhetstiltakene i sine overordnede risikostyringsprosesser. Men med personlig ansvar følger også personlige straffer - der enkeltpersoner selv kan bli straffeforfulgt og dømt for organisasjonens brudd på reglene.
I forslaget til den svenske anvendelsen av NIS2 viser utrederne til den svenske aksjeloven. Her har styret indirekte ansvar for blant annet selskapets organisasjon og forvaltning av virksomheten - men også et utpekt ansvar for internkontroll, noe som inkluderer cybersikkerhet.
I DORA har styremedlemmer i finanssektoren et utvidet ansvar, inkludert et personlig ansvar. Styret som sådan er ansvarlig for alt fra retningslinjene for håndtering av cyberrisiko til fordeling av ressurser, roller og ansvarsområder. Begge regelsettene krever også at styremedlemmer gjennomgår opplæring i cybersikkerhet.
Et eksempel på direkte konsekvenser
Et eksempel er SolarWinds-saken, der det amerikanske finanstilsynet (SEC) saksøkte selskapet og dets CISO Timothy Brown for å ha gitt uriktige opplysninger om selskapets praksis for cybersikkerhet. Det viste seg at SolarWinds sine offentlige uttalelser skilte seg markant fra den interne dialogen om selskapets håndtering av cybersikkerheten. Brown hadde for eksempel i en intern presentasjon erkjent at SolarWinds sin praksis satte selskapets kritiske ressurser i en svært sårbar posisjon.
Det er også viktig å sikre at ansatte i lederroller er informert om, og engasjert i, sitt ansvar for å opprettholde en høy sikkerhetsstandard.
Dette eksempelet understreker hvor viktig det er at organisasjoner ikke bare fokuserer på å oppfylle de tekniske kravene til cybersikkerhet, men også sørger for at ansatte i lederroller er informert om, og engasjert i, sitt ansvar for å opprettholde en høy sikkerhetsstandard. Det handler ikke bare om å beskytte organisasjonen og dens interessenter - til syvende og sist handler det også om å beskytte seg selv.
IT-avdelingens rolle fremover
IT vil fortsette å spille en viktig rolle når det gjelder å støtte organisasjonen med teknisk ekspertise, ikke minst når det gjelder å bygge en robust infrastruktur for cybersikkerhet. Samtidig er IT og deres eksperter en viktig ressurs for å bygge bro mellom tekniske og ikke-tekniske deler av organisasjonen, med mål om å skape en felles forståelse og håndtering av cyberrisiko.
I fremtiden må IT-avdelingen samarbeide enda tettere med ledergruppen for å sikre at cybersikkerhetsplaner og -prosesser er godt integrert med selskapets overordnede forretningsstrategi og risikostyring. Dette betyr også at IT-avdelingen må utvikle sin forståelse av forretningskonteksten, slik at de kan støtte der det er nødvendig.
I tillegg til teknisk ekspertise må IT-fagfolk nå i økende grad demonstrere sine kommunikasjonsevner og ha sterkere samarbeidsevner; for å kunne jobbe på tvers av funksjoner, og utvikle ferdigheter innen risikostyring; inkludert analyse og prioritering.Slik forankrer du cybersikkerhet i hele organisasjonen
Skap bevissthet på tvers av ledelsen
Det er ikke nok at CIO-en og et enkelt styremedlem driver saken videre. Kunnskapsnivået må økes på tvers av organisasjonen, og ved å skape en følelse av at det haster øker bevisstheten om at cybersikkerhet er en eksistensiell og reell trussel mot hele organisasjonen - ikke bare noe som "påvirker andre".
Utvikle konsepter og verktøy kontinuerlig
Gjennomgå kritiske ressurser og prosesser, og sørg for at det finnes en plan for hvordan dere skal reagere på eventuelle angrep. Dette må drives av personer med et forretningsmessig tankesett, slik at cybersikkerhetsarbeidet ikke oppfattes som teknisk komplisert og noe som bare IT-avdelingen kan håndtere.
Styrk kunnskapen
Ettersom cybersikkerhet påvirker hele virksomheten, er det avgjørende at markedsførings- og salgspersonell; samt prosessledere har den kunnskapen som kreves for å forklare arbeidet i dialog med kunder og interessenter. Her er det viktig å ha tydelige interne informasjonskilder som disse medarbeiderne kan stole på.
Nysgjerrig på hvordan GRC vil utvikle seg i 2024 - og hvordan du best kan oppfylle ditt ansvar fremover? Les vår trendspaning og finn ut hva du og resten av organisasjonen din må gjøre for å holde tritt med det stadig skiftende IT- og sikkerhetslandskapet.
