Fersk rapport fra Cisco og Radar Norway: Motstandskraft i norske virksomheter

På oppdrag fra Cisco har Radar Norway skrevet en rapport som avdekker at det må gjøres flere grep i virksomhetene.  Administrerende direktør i Cisco Norge, Trine Strømsnes, understreker at norske virksomheter må øke sin innsats.  

–Vi snakker om å styrke motstandskraft og konkurransekraft i virksomhetene. Derfor har Cisco lansert en rapport som omhandler både eksisterende og kommende reguleringer som gir økt lederansvar for risikostyring og krever økte investeringer for norske virksomheter. 

Flere norske virksomheter må ha sikre, trygge og gode systemer som gjør at virksomheten kan møte økt trusselnivå, økte kostnader og økte regulatoriske og administrative krav, sier Strømsnes. 

Gjennomgang av relevante regelverk fra EU og Norge

Rapporten gir en oversikt over relevante EU-regler og norske regler om motstandskraft og hva de betyr for norske bedrifter. En fellesnevner for reglene som kommer, er økte krav til kompetanse om risiko og økt ledelsesansvar for risikostyring i virksomheter. Rapporten gir også en analyse av nåsituasjonen og anbefalinger i to sentrale sektorer i Norge: kraft- og energisektoren og mat- og prosesseringsindustrien. 

Rapporten er bygget opp slik at beslutningstakere enkelt kan navigere til relevante områder.

Kraft- og energisektoren

I rapporten dypdykker vi inn i to sektorer som er viktige for Norge: Kraft- og energisektoren og mat- og prosesseringsindustrien. Begge sektorer har høy utbredelse av IT/OT- systemer, og har komplekse verdikjeder som utgjør sårbarheter som kan utnyttes.

-Kraft- og energisektoren har imidlertid kommet lengre enn mange andre sektorer hva gjelder digital modenhet, og er også spesifikt nevnt som essensiell og viktig sektor i de nye europeiske reguleringene NIS2- og CER-direktivet, sier Strømsnes.

Kraftsektoren har flere utfordringer knyttet til IKT-sikkerhet og motstandskraft mot hendelser, samt evne til å håndtere hendelser. Mange virksomheter opplever utfordringer med risikostyring, tjenesteutsetting og overvåking og logging. Det er også utfordringer med identifisering av kraftsensitiv informasjon, gjennomføring av sikkerhetsrevisjoner og evaluering og testing.

-Vår rapport viser at det er behov for økt motstandskraft og økt modenhet i risikostyring i kraftsektoren, og rapporten gir konkrete råd til beslutningstakere, understreker Strømsnes.

Mat- og prosesseringsindustrien

Matsektoren må forholde seg til økte krav til ledelsesinvolvering, økte investeringer i sikkerhet, og økte krav til leverandørstyring og hendelsesrapportering. 

-Kommende EU-regler som NIS2-direktivet og CER-direktivet vil gjøre det enda viktigere for mat- og prosesseringsindustrien å ha et ordentlig, systematisk og risikobasert sikkerhetsarbeid, fortsetter Strømsnes. 

Konsekvenser og anbefalinger for alle beslutningstakere uavhengig av sektor 

Tette koblinger og avhengigheter, og rask innføring av ny teknologi, sammen med komplekse og lange verdikjeder i flere sektorer, gir økt omfang av reguleringer, økte angrepsflater og til sist et mer krevende sikkerhetsarbeid.  

Strømsnes kommer med følgende anbefalinger til norske beslutningstakere uavhengig av sektor: 

Virksomheters motstandskraft må økes!
Virksomhetene må evne å tilpasse seg nye og endrede forutsetninger, og kunne håndtere eventuelle forstyrrelser og må samtidig ha evne til å komme seg raskt etter uønskede hendelser.  

Økt profesjonalisering av risikostyring i virksomheter 

Flere ansatte og ledere vil tilegne seg økt kompetanse på risikostyring, og med økt profesjonalisering kommer også økte krav til leveranser i ledergrupper.

Risikostyring er et ledelsesansvar! 

NIS2-reglene tydeliggjør ledelsens ansvar, se spesielt artikkel 20 og 21. Dette kan gjøre det enklere å prioritere sikkerhetsfaglige råd i virksomhetene, og kan bidra til at det blir enklere å sikre investeringer til nødvendige sikkerhetstiltak.  Det er et lederansvar å sørge for god risikostyring i en virksomhet.  

Beslutningstakere må analysere situasjonen i egen virksomhet, og stille spørsmålene:   

• Hva er din nåsituasjon?  

• Er du i samsvar med eksisterende regelverk, og har du tiltak du må gjøre umiddelbart for å styrke motstandskraften i egen virksomhet?  

• Har du egen kompetanse eller ikke? 

Økt kamp om sikkerhetsressurser og kompetanse 

Økte minimumskrav forventes videre å gi økt kamp om ressursene innen sikkerhetskompetanse, økt etterspørsel etter sikkerhetstjenester, og økt etterspørsel etter nearshoring og offshoring som følge av at NIS2-regelverket gjelder for hele EU.
 

Økte kostnader og behov for flere investeringer 

NIS2-direktivet alene gir økte kostnader for virksomhetene. EUs egne tall antyder en kostnadsøkning på 22 % for de virksomheter som ikke tidligere har vært omfattet av NIS1, og en kostnadsvekst på 12 % for de virksomheter som fra før av er omfattet av NIS1. Direktivet innebærer også økte investeringer i opplæring og kompetanse. I tillegg kommer økte reguleringer og tilhørende investeringer som følge av eksempelvis CER-direktivet.
 

Økt behov for kjøp av «secure by design» tjenester 

Det blir økt behov for kjøp av ferdig pakketerte «Secure by design»- tjenester. Dette er produkter der sikkerheten til kundene er et kjernekrav, ikke bare en teknisk funksjon.