Med NIS2 og DORA skjerpes kravene til styring, risikohåndtering og leverandørkontroll. Tre eksperter forklarer hvordan virksomheter kan møte kravene på en måte som både styrker robustheten og gir økt konkurransekraft.
Petter Bjerkeli
Salgssjef i Novotek AS og salgsansvarlig for OT-Security løsningen Octoplant
Hva er de største utfordringene norske virksomheter møter med NIS2 og DORA?
Cybertrusler rettet mot OT-systemer har økt betydelig de siste årene, men hos de fleste industribedrifter ligger ansvaret for cybersikkerhet fremdeles i IT-avdelingen. Dette kan skape uklare ansvarsforhold mellom IT og OT. IT-avdelingen har ofte lite kompetanse om OT-utstyr, og backuprutiner for PLS-er og styresystemer er ofte helt manuelle. På den andre siden har OT-avdelingen ofte manglende rutiner for backup, oppdatering og patching av utstyr.
Hvordan kan bedrifter bruke disse regelverkene til å styrke sikkerhet og konkurransekraft – ikke bare oppfylle krav?
Tiltakene handler ikke bare om compliance, men om å øke sikkerheten i OT-miljøet. Ved å få på plass en automatisert Backup- og Disaster Recovery-løsning kan man hindre langvarige driftsavbrudd, oppnå mer stabil drift og sikre effektiv produksjon. En god sikkerhetsstrategi inkluderer bedre samarbeid mellom OT og IT, og legger et grunnlag for fremtidig digitalisering og optimaliseringsmuligheter.
Hvilke konkrete tiltak bør ledelsen prioritere for å bygge robusthet og beredskap?
Når vi snakker om sikkerhetstrusler blir OT-miljøet ofte glemt, men i dag er OT-systemer mer åpne og i større grad koblet sammen med IT. Dette øker risikoen for cyberangrep. Vi ser at mange produksjonsbedrifter har gode rutiner rundt IT-systemer, men mangler riktig håndtering av OT-systemer. Første steg er å få oversikt over OT-infrastrukturen og identifisere risikoer i anlegget ved hjelp av CVE-scanning tilpasset OT-utstyr.
Ofte er både interne og eksterne personer involvert i endringer og vedlikehold av OT-utstyr, og backup blir i mange tilfeller kun lagret lokalt på den enkeltes laptop. En typisk IT-backupløsning er ikke tilpasset bruk i OT-miljøet. Derfor er det viktig å få på plass en egnet nettverksbasert løsning for automatisk backup og versjonskontroll av typisk OT-utstyr som PLS-er, roboter, paneler og frekvensomformere.
Dette gjør at virksomheten kan være forberedt på uforutsette hendelser, holde produksjonen i gang og sikre nødvendig rapportering i henhold til NIS2 og DORA.
Novotek har automasjons- og digitaliseringsløsningene du trenger for å koble sammen utstyr og systemer, digitalisere produksjonen og optimalisere driften.
Les mer på novotek.com/no
Katrine Krogedal
Team Lead GRC, Orange Cyberdefense
Hva er de største utfordringene norske virksomheter møter med NIS2 og DORA?
I takt med at det digitale trusselbildet blir mer komplekst, skjerpes også kravene til virksomheters sikkerhetsstyring. Dette gjelder både bransjespesifikke krav, kunde- og markedskrav samt også skjerpet regulatoriske krav som eksempelvis NIS2 og DORA.
Mange virksomheter opplever at det blir vanskelig å holde oversikt, og enda vanskeligere å få alt til å henge sammen. Sikkerhetskravene har gjerne ulike fokusområder, men samtidig mye overlapp og krever derfor gjerne lignende tiltak. Det er lett å ende opp med parallelle prosesser, dobbeltarbeid og manglende koordinering på tvers av avdelinger og fagteam i organisasjonen.
Hvordan kan bedrifter bruke disse regelverkene til å styrke sikkerhet og konkurransekraft – ikke bare oppfylle krav?
NIS2 og DORA bør sees som en mulighet til å bygge robusthet og tillit, ikke bare som et compliance-krav. Ved å se reguleringene og andre rammeverk som strategiske verktøy kan virksomheter bygge en helhetlig og skalerbar sikkerhetsstrategi.
En samlet og strategisk tilnærming til sikkerhetsarbeidet gir bedre risikostyring, mer effektiv ressursbruk og økt tillit fra kunder, partnere og myndigheter. Evnen til å dokumentere etterlevelse blir et konkurransefortrinn og en trygghet, særlig ved ingåelse av kundeforhold og strategiske samarbeid. Samtidig bidrar regelverkene til å forankre sikkerhet som en integrert del av forretningsstrategien, og gir ledelsen et bedre beslutningsgrunnlag gjennom bedre innsikt i trusler og sårbarheter.
Hvilke konkrete tiltak bør ledelsen prioritere for å bygge robusthet og beredskap?
Først og fremst bør ledelsen sikre at sikkerhet, risiko og etterlevelse integreres i virksomhetsstyringen, og ikke håndteres som støttefunksjoner. Det handler om å gjøre GRC til en naturlig del av daglige beslutninger, ikke et vedlegg til årsrapporten.
Dernest bør ledelsen sikre allokering av ressurser for å etablere strukturerte prosesser som dekker kravene til risikostyring, hendelseshåndtering, leverandørkontroll og virksomhetskontinuitet. Dette gir kontroll både i hverdagen og i møte med tilsyn eller revisjon.
Orange Cyberdefense er cybersikkerhetseksperten i Orange Group. Som Europas ledende tilbyder av sikkerhetstjenester er vårt mål å bygge et tryggere digitalt samfunn.
Les mer på orangecyberdefense.no
Stian Barmen
CTO i Proact
Hva er de største utfordringene norske virksomheter møter med NIS2 og DORA?
NIS2 og DORA skjerper krav til styring, risikohåndtering og leverandørkontroll. Den vanskelige balansen er at vi ønsker å konsolidere for å forenkle driften, men samtidig må man sikre uavhengig kontroll. Løsningen er å skille rollene: de som utvikler og drifter, bør ikke være de som tester eller attesterer. DORA krever uavhengige angrepstester, mens NIS2 forplikter styret til aktivt ansvar, risikostyring og raske rapporteringsløp.
«Regulatoriske krav skal styrke sikkerheten, men når fokus blir etterlevelse på papiret fremfor risikoreduserende tiltak, ender vi med sikkerhetsteater. Det senker kun den opplevde risikoen, ikke den faktiske.» – Stian Barmen, CTO Proact
Hvordan kan bedrifter bruke disse regelverkene til å styrke sikkerhet og konkurransekraft – ikke bare oppfylle krav?
Tenk arkitektur som tåler endring. Bygg mobilitet og exit-muligheter inn fra start, slik at data og arbeidslaster kan flyttes når risiko eller regulatoriske krav endres. Flytt sikkerheten nær dataene: minst mulig tilgang, manipulasjonssikker kopi, isolert backup, og dokumenterte gjenopprettingstester. Bytt sjekklistene med kontinuerlig overvåking og endepunktsovervåking som fanger avvik tidlig, og øv på hendelseshåndtering slik at rapporteringskrav faktisk kan møtes.
Hvilke konkrete tiltak bør ledelsen prioritere for å bygge robusthet og beredskap?
En regnskapsfører reviderer ikke sitt eget regnskap – det samme gjelder sikkerhet. Utfør jevnlig uavhengig penetrasjonstesting (angrepstesting), helst med løpende avvikshåndtering. En gang i året holder ikke. Forankre ansvar og risikoaksept, etabler en uavhengig gapanalyse mot NIS2/DORA og følg en plan med tydelige milepæler. Sikre avtalefestet innsyn, verifiserte programvarelister, forpliktende patch-/responskrav og en exit-plan som faktisk er testet. Da unngår man sikkerhetsteateret, og gjør etterlevelse til bedre drift, mindre nedetid og sterkere konkurransekraft.
Proact, et norsksvensk selskap stiftet i 1994. Vi er eksperter på datasikkerhet, lagring, plattform, sky og drift.
Les mer på proact.eu
