”En smart ciso använder NIS2 som ett verktyg för att ligga steget före”

krönika Nya EU-regleringar som NIS2 och Dora innebär att företag som försummar informationssäkerheten riskerar dryga böter. Men implementeringen av dessa lagar är också en möjlighet för säkerhetschefer att stärka sina positioner. Det skriver Tom Ascroft, ciso på Unit4, i en krönika.

”En smart ciso använder NIS2 som ett verktyg för att ligga steget före”

En av de största utmaningarna inom informationssäkerhet är att avgöra hur mycket som ska investeras och var det ska ske. För lite investeringar höjer riskprofilen, medan för mycket får cfo:n att ifrågasätta kostnaderna. Med implementeringen av EU-regleringarna NIS2 och Dora är det dags att se över sina strategier för att minska riskerna på ett strukturerat sätt.

Ramverk och standarder, som Carnegie Mellons Capability Maturity Model (CMM) och kontroller från ISO 27001 och SOC2, hjälper it-säkerhetschefer att värdera och hantera risker. Modellerna erbjuder en metod för att hantera komplexa säkerhetsfrågor och gör dem lättare att förstå för ledningen. En ciso (chief information security officer) bör använda dessa verktyg för att säkerställa verklighetsförankring i sina planer och visa att de har valt smarta och relevanta tillvägagångssätt.

Att underinvestera är inte längre ett alternativ

Tendensen att minska investeringar i säkerhet är ett ständigt hot, men nya lagar som GDPR tvingar företag att ta riskhantering på allvar. NIS2, som trädde i kraft i oktober, bör ses som en möjlighet att uppdatera strategierna. Med dyra böter för att bryta mot NIS2 och GDPR är det avgörande att ligga steget före de snabbt växande cyberhoten.

NIS2 har ett bredare fokus och omfattar fler sektorer som är avgörande för samhället och ekonomin. Det ställer krav på strängare riskhantering, rapportering av incidenter och säkrad leveranskedja. Fördelarna med efterlevnad är ökad affärskontinuitet, starkare leveranskedjor och produktivitetsvinster. It-chefer bör redan nu ha bekantat sig med NIS2, eftersom snabba svar på säkerhetsincidenter är avgörande för att undvika hårdare tillsynsåtgärder.

Precis som biltillverkare gick längre än att bara införa säkerhetsbälten genom att lägga till airbags och ABS, bör säkerhetsorganisationer sträva efter att ligga före de legala kraven. Det handlar om att hålla högre standarder och göra rätt även innan regler blir obligatoriska. På samma sätt kommer Dora, som träder i kraft i januari 2025, att ytterligare stärka finansiella företags organisatoriska motståndskraft.

Säkerhet är inte bara ”bra att ha”

Säkerhetsriskerna har aldrig varit större, och det är viktigt att kvantifiera dessa i form av böter, varumärkesskada, driftstopp och andra konsekvenser för att göra frågan mer greppbar för affärsledare. Jämförande studier, som Gartners IT Security Maturity Benchmark, är användbara verktyg för att snabbt bedöma hur förberedd organisationen är.

Det är alltid lätt att vara efterklok, men säkerhetschefens ansvar är att visa att alla rimliga åtgärder har vidtagits och att balansen mellan risk och åtgärder har hanterats på ett klokt sätt. Att ignorera förändringar i säkerhetshot innebär inte bara risker för sanktioner utan signalerar också brist på infrastruktur och datastyrning. Genom att agera nu kan du säkra din organisation och dra nytta av en stark och motståndskraftig it-arkitektur.

Tom Ascroft är informationssäkerhetschef, CISO, på Unit4

Denna artikel var tidigare publicerad på tidningen telekomidag.se

Senaste artiklarna

Hämtar fler artiklar
Till startsidan
Techtidningen

Techtidningen Premium

Nyhetstjänsten för dig som jobbar med professionell kommunikation. Nu med nya nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.