Det finns tyvärr ingen enkel mall att utgå ifrån för att leva upp till NIS2. Det beror på graden av mognad i organisationens säkerhetskultur och vilka värden organisationen verkligen behöver skydda. En bra start för att få ordning på detta är att använda sig av den utmärkta steg-för-steg-guiden från den nederländska Nationaal Cyber Security Centrum.
Jag är alldeles övertygad om att många organisationer kan ha stor nytta av att göra sin ”NIS2 läxa” ordentligt. Inte bara för att höja nivån på den egna säkerheten, utan också för att få en bättre förståelse för vad som verkligen är värt att skydda – och hur digitalt sårbara organisationens processer är.
Cybersäkerhet är ingen IT-fråga
Om säkerhetsexperter bara kan få sina ledningar och styrelser med på att ställa de rätta frågorna först, så hoppas jag att NIS2 kan bli en riktig ”game changer” när det gäller synen på cybersäkerhet. Att det inte handlar om en IT-fråga utan om en investering i hela organisationens verksamhet.
Rätt ingång till NIS2 handlar om att börja med hela organisationens strategiska mål och sedan mappa dessa mot vilka processer som krävs för att målen skall nås. Förhoppningsvis är ju detta något som ledningen i de flesta organisationer har koll på, men min erfarenhet är att när det gäller nästa steg – förståelsen för hur dessa processer är beroende av den digitala infrastrukturen – så har många företagsledningar en rejäl organisatorisk hemläxa att göra.
Och bara genom att använda sig av den här förenklade illustrationen (lånad från just Nationaal Cyber Security Centrum) som utgångspunkt tror jag att de flesta organisationer kommer in på en mycket bättre nivå i sin jakt på NIS2 efterlevnad.
Gemensam förståelse är viktigt
I slutändan så förutsätter det här att säkerhetsexperter och organisationsledningar har samma utgångspunkt. En gemensam syn på vad cybersäkerhet handlar om och vilken avgörande roll det spelar för verksamheten som helhet. Säkerhetsexperter måste verkligen sluta att dränka styrelser och ledningsgrupper med siffror och säkerhetslingo. Sånt bara ökar gapet och gör ledningen osäker.
Att flytta fokus från ”IT-risker” till ”affärsmöjligheter” (eller risker för den delen) i presentationer är det bästa sättet att övertyga styrelse och ledning om att de krav och rutiner för cybersäkerhet som kommer med NIS2 i själva verket är något som gynnar hela verksamheten och företagets strategiska mål.
Så, låt oss sluta prata om NIS2 som ett direktiv som leder till "hårdare krav på cybersäkerhet” och istället som en investering i organisationens kärnverksamhet.
Arno van den Hof
Managing Director Junglemap Benelux
