I 2025 må alle bedrifter, myndigheter og andre organisasjoner være oppmerksomme på utfordringer knyttet til cybersikkerhet. De aller fleste prosesser i en virksomhet vil på en eller annen måte være avhengig av digitale verktøy, selv mindre driftsforstyrrelser kan få store konsekvenser. Derfor er det også viktig å sette arbeid med nettverkssikkerhet i system, slik at trusler og risiko reduseres så mye som mulig.
Regelverk som gjør det enklere å ha riktig fokus
Det kan uten tvil være utfordrende å arbeide systematisk med et komplekst tema som cybersikkerhet. Derfor kan det være fornuftig å ta utgangspunkt i et regelverk som det såkalte NIS2-direktivet, som også er direkte relevant for en rekke norske virksomheter. Akkurat dette direktivet dreier seg om nettverks- og informasjonssikkerhet innenfor en rekke ulike bransjer og sektorer, og det er en oppdatert versjon av det opprinnelige NIS-direktivet fra 2018.
Å følge retningslinjene i et eksisterende regelverk vil åpenbart gjøre det mye enklere å oppfylle rapporteringskravene i regelverket, men samtidig vil det også føre til at det blir enklere å ha fokus på de mest relevante risikoene. Reglene i NIS2 er utviklet for samfunnskritiske virksomheter, men de kan selvfølgelig også benyttes av organisasjoner i andre sektorer.
Kontinuerlig forbedring og vurdering av implementerte sikkerhetstiltak
Det er svært viktig å akseptere at arbeid med cybersikkerhet ikke er noe som man blir «ferdig» med, i og med at landskapet hele tiden forandres. Dessuten er det fornuftig å akseptere at det aldri vil være mulig å fjerne all risiko, hensikten for de aller fleste organisasjoner vil være å redusere risikoen til et akseptabelt nivå.
I den forbindelse er det også viktig å arbeide med kontinuerlig vurdering av allerede implementerte sikkerhetstiltak, kombinert med kontinuerlig forbedring. Cybersikkerhet er et felt som er i konstant utvikling, det er derfor også helt naturlig at nettverkssikkerhet satt i system dreier seg om hele tiden å bygge videre på eksisterende sikkerhetstiltak.
