Klar for ny lov om nasjonal sikkerhet?

(Innlegget sto på trykk som kronikk i Finansavisen 24.12.2018, altså før ny sikkerhetslov trådte i kraft.)

Den nye loven gjør at norske virksomheter vil få et utvidet ansvar for de sikkerhetsbeslutningene de tar - og ikke tar.

Dagens lov om nasjonal sikkerhet er fra 1998 og har lenge vært moden for utskifting. Mye har forandret seg på tjue år. Den sikkerhetspolitiske situasjonen er forandret, det digitale trusselbildet er forverret og samfunnet er blitt avhengig av IKT i alle sektorer. Vår nasjonale sikkerhet utfordres av gjentatte cyberangrep. Den nye sikkerhetsloven er viktig for å redusere sårbarheter og styrke sikkerheten.

Nåværende sikkerhetslov legger stor vekt på statssikkerhet og å beskytte de nasjonale hemmelighetene våre. Den nye loven vil i større grad også fange opp samfunnssikkerhetsperspektivet. Akkurat hvilke samfunnsfunksjoner som er kritiske nok til å bli definert som grunnleggende nasjonale funksjoner og som dermed må beskyttes, skal bestemmes av departementene. Eksempler kan være betalingsformidling, strøm, mat, transport og kommunikasjon.

Alle må ta et større ansvar for sikkerheten. Den nye loven krever at virksomhetene både gjennomfører gode risikovurderinger og innfører sikkerhetstiltak slik at de oppnår et forsvarlig sikkerhetsnivå.

En god nyhet er at den nye loven tillater fleksible løsninger. Trusselbildet og den teknologiske utviklingen endrer seg stadig. Det er derfor laget en lov som er tilpasningsdyktig og detaljerte regler er erstattet med klare krav til hva den skal oppnå. Nasjonal Sikkerhetsmyndighet og sektormyndighetene vil lage veiledere for å hjelpe norske virksomheter, blant annet basert på NSMs «Grunnprinsipper for IKT-sikkerhet». Det er allikevel alltid virksomhetene selv som har ansvaret for både vurderinger og beslutninger. Dette krever kompetanse.

En dårlig nyhet er at svært mange virksomheter i dag dessverre mangler kompetansen de trenger for å digitalisere sikkert. Enda flere mangler ekspertisen til å benytte fleksibiliteten loven legger opp til. Alle virksomheter må leve med risiko, men uten tilstrekkelig kompetanse kjenner du ikke risikonivået. Den nye loven gjør det enda viktigere enn før at ansatte, styrer og ledelse evner å forstå, håndtere og styre digital risiko. For å unngå brudd på loven må det arbeides strategisk med å sikre kompetanse gjennom ansettelser, innleie, riktig tjenesteutsetting og opplæring på alle nivå.

Ingen kan forvente å få sikkerhetskompetanse til jul, men et godt nyttårsforsett er å bruke 2019 på å skaffe seg den.