Fra 1. oktober:
Skyhøye gebyrer for brudd på ny lov
Tilfredsstilles ikke kravene i digitalsikkerhetsloven, er det ikke bare virksomheten som risikerer skyhøyt gebyr. Et personlig ansvar gjør at det også kan svi skikkelig på pungen til både daglig leder og styreleder om ikke alt er på stell.
Lars Eirik Berg, direktør GRC i Semaphore Consulting Partners, frykter at mange kan gå på en millionsmell dersom de ikke tar tak og gjør nødvendige oppgraderinger.
Loven han snakker om er digitalsikkerhetsloven (Lov om digital sikkerhet). Den trer i kraft 1. oktober, etter to års forskriftsarbeid. Loven er i all hovedsak basert på EUs NIS-direktiv fra 2016, med noen tilpasninger fra nye NIS2.
– Digitalsikkerhetsloven handler ikke utelukkende om IT-sikkerhet slik navnet kan gi inntrykk av, men helhetlig sikkerhet for nettverk og informasjonssystemer i samfunnskritiske virksomheter. Den ivaretar også tilrettelegging av sikkerhet i IKT- produkter, tjenester og prosesser, sier Berg.
Kravene er blant annet forebygging, oppdagelse, begrensning og rapportering. Det er også varslingsplikt innen 24 timer om «sikkerhetshendelser» som oppstår. Et eksempel på kontinuitet som forutsettes, er at risikovurderinger skal gjennomgås minst en gang årlig.
– Veldig mange omfattes av loven. Den gjelder for tilbydere av samfunnsviktige tjenester innen sektorer som energi, transport, helse, vannforsyning, bank, finans, digital infrastruktur og noen definerte digitale tjenester. Alle må derfor studere forskriften og finne ut om deres egen virksomhet er underlagt de nye reglene. Og er den det, står det i forskriften at den snarest skal meldes inn til NSM og sektorens tilsynsmyndighet, sier Lars Eirik Berg.
Høye gebyrer
– Det er virksomhetene selv som har ansvaret for å følge loven, men loven adresserer som nevnt også ansvaret direkte på daglig leder og styreleder. Det er slutt på at ledelsen kan skylde på IT- eller sikkerhetssjefen hvis noe går galt, eller at nødvendige sikkerhetsvurderinger og oppfølging ikke er gjort. Toppledelsen er kort og godt ansvarlige for at sikkerhetsstyring er på plass og at risikovurderinger gjøres, og at de følges opp, legger han til.
Riset bak speilet er et overtredelsesgebyr som kan utgjøre opptil 25 ganger grunnbeløpet i folketrygden, eller – hvis det dreier seg om et foretak; fire prosent av virksomhetens årsomsetning forutgående regnskapsår. Det høyeste beløpet utgjør den øvre rammen.
Overtredelsesgebyret kan uansett ikke overstige 50 millioner kroner.
– Unntak fra sikkerhetstiltak må godkjennes av virksomhetens leder, dokumenteres i styringssystemet og meldes til tilsynsmyndigheten, sier Berg.
– Det er også verdt å merke seg at de som er underlagt loven er ansvarlig for at tredjepart har tiltak som ikke påvirker sikkerheten i virksomhetens nettverk og sikkerhetssystemer. Det gjelder både fysisk og digitalt. Tredjepart bør også involveres i for eksempel beredskapsøvelser der det er naturlig, legger han til.
Kartlegging og dokumentasjon
– Enkelt sagt medfører loven at virksomheten må etablere sikkerhets- og risikostyring, gjennomføre grundige risikovurderinger og ha gode rutiner for håndtering av sikkerhetshendelser. Dette medfører kartlegging og dokumentering av sårbarheter, samt iverksetting av risikoreduserende tiltak, sier Berg – og minner videre om ledelsesansvaret, rapporterings- og oppfølgingsplikten.
– Alt dette vil for mange kreve investeringer i oppdaterte sikkerhetssystemer, nye tiltak, opplæring av ansatte og etablering av prosedyrer for hendelseshåndtering. Dette kan
virke voldsomt, men nøkkelen er å gjøre det så enkelt som mulig tilpasset egen virksomhet, legger han til.
Alle som blir underlagt loven er også underlagt tilsyn av myndighetene.
