Ved årsskiftet trådte ny lov i kraft som skal sikre at landet fungerer også i en krise. Loven viderefører dagens regler, som var mer fokusert på fysisk sikring, men har nå mer funksjonelle krav og går ikke i detalj om konkrete tiltak. Altså betydelig mer dynamisk og gir mulighet for mer fleksibilitet.

Ny lov er mer tilpasset dagens situasjon og sikkerhet rundt elektroniske informasjonsobjekter, og tar høyde for teknologisk utvikling. Overordnede krav er detaljert i forskrifter, med ytterligere detaljer gjennom veiledninger.

Den introduserer begrepet «forsvarlig sikkerhetsnivå» som kan føre til usikkerhet, men dette vil defineres over tid gjennom praksis. Vi må forberede oss på flere og mer avanserte forsøk på å (for eksempel) kompromittere kritiske samfunnsfunksjoner, manipulering av oljeproduksjonen og snoking i sensitiv informasjon.

Mindre bedrifter har 35% høyere risiko for datainnbrudd enn store. I en økt digitalt sammenkoblet verden med økt privatisering og flere datasystemer som snakker sammen har hver og en et eget samfunnsansvar. Samfunnet er en lenke av individer og virksomheter der det svakeste ledd er en trussel mot alle. Alle må derfor gjøre det de kan for å sikre seg mot angrep og private virksomheter bør derfor også vurdere hvilken påvirkning loven og det endrende trusselbildet kan ha for dem.

Alle bør ha et styringssystem for sikkerhet. Ny lov betyr ikke at man må begynne med blanke ark, men bygge på det man allerede har. Kravet er at alle sikrer at de har et forsvarlig sikkerhetsnivå. Dette kan oppnås gjennom en kombinasjon av menneskelige, elektroniske, fysiske og organisatoriske tiltak. Ta derfor utgangspunkt i eksisterende styringssystem for kvalitetssikring, HMS, personvernforordningen og annet regelverk.

Loven utvider også styret og daglig leders ansvar. Ansvaret for sikkerhet må inn i styrerommet og kan ikke bare overlates til IT-avdelingen. Et første råd er å følge NSMs grunnprinsipper for IKT-sikkerhet:

Identifisere og kartlegge Beskytte Opprettholde og oppdage Håndtere og gjennoprette



Av Andreas Heldal-Lund CEO, iO Data AS Mobile: (+47) 90 04 32 99 Email: andreas@io-data.no

Kilder:
Sikkerhetsloven: https://goo.gl/fJ5rL5
NSM «Grunnprinsipper for IKT-sikkerhet»: https://goo.gl/8AjU6X