Fyrirtæki af ýmsum toga standa nú frammi fyrir innleiða NIS2 eða DORA. Evrópusambandið er með þessu að tryggja sem best öryggi net- og upplýsingakerfa rekstraraðila sem veita nauðsynlega þjónustu í samfélaginu en mikill vöxtur hefur verið tölvuglæpum og tölvuárásum af ýmsu tagi undanfarin ár.
Að innleiða skipulagsaðgerðir til að mæta kröfum NIS2 og DORA er umfangsmikið verkefni, einkum fyrir fyrirtæki sem ekki hafa verið í slíkum sporum áður. Fyrsta skrefið er að stjórnendur kynni sér vel viðfangsefnið enda er mikil ábyrgð á stjórnendum þegar kemur að hlítingu við NIS2 og DORA og getur varðað sekt og persónulegri ábyrgð. Með góðri þekkingu á viðfangsefninu geta stjórnendur betur stutt við innleiðingu og fengið betri skilning á því hvað þurfi til svo tryggja megi árangurríka innleiðingu
Rekstraröryggi fyrirtækja
DORA reglugerðin snýr rekstraröryggi fyrirtækja á fjármálamarkaði en NIS2 tilskipunin miðar að öryggi net- og upplýsingakerfa rekstraraðila nauðsynlegrar- eða mikilvægrar þjónustu. Með tilkomu NIS2 eru mun fleiri fyrirtæki kölluð til en var fyrir með NIS. Undir NIS voru sem dæmi orku- og hitaveitur, fyrirtæki í stafrænum grunnvirkjum og heilbrigðisþjónustu en með NIS2 bætast við t.d. matvælafyrirtæki, fjarskiptafyrirtæki og stjórnvöld. Umfang NIS2 er meira og hefur því einnig áhrif á þau fyrirtæki sem fyrir eru undir NIS. Hins vegar eru fyrirtæki sem eru undir NIS nú þegar komin með umgjörð sem hægt er að byggja ofan á meðan fyrirtæki sem eru að byrja frá grunni þurfa að ýmsu að huga.
Að reka og viðhalda stjórnkerfi í kringum NIS2 og DORA er mjög líkt því að reka stjórnkerfi upplýsingaöryggis ISO 27001. Innleiða þarf stjórnskipulegar og tæknilegar ráðstafanir til að mæta kröfunum. Samkvæmt könnun sem ENISA (e. European Union Agency for Cybersecurity) gerði á meðal fyrirtækja í Evrópu sem þurftu að hlíta NIS, fóru rúmlega 50% þá leið að innleiða ISO 27001 þegar búið er að innleiða ráðstafanir vegna NIS2 og DORA er búið að innleiða stóran hluta ISO 27001 staðlinum.
Fyrir fyrirtækja að hefja þessa vegferð getur verið yfirþyrmandi. Það er með þetta verkefni eins og svo mörg önnur að það þarf að „búta niður fílinn“. Það er engin töfralausn til, tól eða kerfi sem leysir þetta allt á einu bretti. Ráðstafanir sem grípa þarf til eru t.d. í formi stefnu, áhættumats, netöryggisráðstafana af ýmsu tagi til að mæta áhættu, samninga við þjónustuaðila og birgja, frávikferils, breytingastjórnunar, áætlunar um samfelldan rekstur, vitundaþjálfunar, innri úttekta og úrbótaaðgerða.
Hvar stendur fyrirtækið?
Gott fyrsta skref er að gera gatagreiningu (gap analysis). Máta hvar fyrirtækið stendur á móti kröfunum sem tilgreind eru í NIS2 og DORA. Ætla má að mörg fyrirtæki séu með ýmsar ráðstafanir sem passa inn í kröfurnar sem mögulega þarf að aðlaga en innleiða þurfi aðrar frá grunni. Í framhaldi að meta umfang hverrar aðgerðar og forgangsraða með tilliti til tíma og umfangs.
Gott getur verið að leita til fagaðila fyrir ýmsa þætti er varðar kröfurnar sem dæmi varðandi nánari skilning á lagalegri umgjörð, nauðsynlegum kröfum í samningum, framsetningu á áhættumatsaðferð, framkvæmd áhættumats og kanna tæknilegar ráðstafanir til að mæta kröfum um netöryggi.
Efla varnir nauðsynlegra innvið
Að efla varnir nauðsynlegra innviða er nauðsynlegur hluti af því mengi sem þjóðir þurfa að huga að til að verja land og þjóð. Daglegt líf fólks og fyrirtækja reiðir á tækni og stafrænum samskiptum að umfangsmiklar netárasir geta lamað þjóðfélög. Því fyrr sem fyrirtæki ná að gera nauðsynlegar ráðstafanir því betra. Veldisvöxtur hefur verið í netglæpum undanfarin ár og tjón sem fyrirtæki verða fyrir vegna þeirra er yfirleitt mikið og kostnaðarsamt. Því ættu fyrirtæki að reyna innleiða sem fyrst tæknilegar netöryggisráðstafanir til að verjast. Oft á tíðum þarf ekki að grípa til kostnaðarsamra aðgerða til að auka öryggi til muna og stundum eru tæknilegar lausnir nú þegar hluti af aðgerðum sem fyrirtæki eru með en hafa ekki gefið sér tíma til að innleiða. Aðilar sem stunda netglæpi bíða ekki eftir að við innleiðum NIS2 og DORA, svo mikið er víst.
Höfundur er leiðtogi ferla og öryggis hjá Sensa.
