Melding var det enkle steget
Fristen har passert. De fleste organisasjoner som omfattes av digitalsikkerhetsloven har meldt seg til Nasjonal sikkerhetsmyndighet (NSM). Skjemaet tok kanskje 20 minutter å fylle ut. Bra — men meldingen var det administrative startskuddet, ikke målstreken.
Nå begynner den fasen som avgjør om deres sikkerhet blir virkelig eller bare papir i en perm. Og det er her jeg ser at de fleste organisasjoner sitter fast.
Virkeligheten: Meldingen tok 20 minutter. Implementeringen tar 12–24 måneder. Men det betyr ikke at dere kan vente — NSM og sektormyndigheter kan innlede kontroller når som helst.
Tre feil som jeg ser igjen og igjen
Melding er en administrativ handling, ikke et bevis på etterlevelse. Det er som å registrere et selskap og tro at virksomheten dermed er i gang. Loven krever at dere faktisk implementerer sikkerhetstiltak, ikke bare at dere melder at dere omfattes.
Verktøyfellen er virkelig. Jeg ser organisasjoner som investerer i GRC-plattformer, SIEM-løsninger og sårbarhetsskannere før de i det hele tatt har kartlagt sine informasjonsressurser. Verktøy uten prosess er som et kassasystem uten forretningsidé — det ser profesjonelt ut, men gir ingen verdi.
Digitalsikkerhetsloven er tydelig: ledelsen er ansvarlig. Ikke IT-sjefen, ikke CISO — ledelsen. Å delegere bort ansvaret er ikke bare en dårlig strategi, det strider mot lovens hensikt. Styret må godkjenne policyer, sikre ressurser og selv gjennomgå opplæring.
Hva tilsynsmyndighetene faktisk leter etter
Det er lett å tro at tilsyn handler om å ha riktige dokumenter. Det gjør det ikke. NSM og sektormyndighetene leter etter tre ting:
Systematikk — Finnes det en rød tråd? Har dere identifisert hvilke informasjonsressurser som er kritiske, vurdert risikoer mot dem, og valgt tiltak basert på den vurderingen? Eller har dere bare plukket kontroller fra en liste?
Sporbarhet — Kan dere vise hvorfor dere valgte akkurat de tiltakene dere valgte? Kan dere vise hvem som besluttet, når, og på hvilke grunnlag? Sporbarhet innebærer at hver beslutning har en dokumentert kobling tilbake til en identifisert risiko.
Ledelsesengasjement — Har styret og ledelsen aktivt deltatt i sikkerhetsarbeidet? Finnes det protokoller som viser at sikkerhetsspørsmål er behandlet på ledelsesnivå? Har ledelsen gjennomgått den opplæringen som loven krever?
Dokumentasjon uten underliggende prosess er teater.
En informasjonssikkerhetspolicy som ingen følger, en risikoanalyse som aldri oppdateres, en insidenthåndteringsplan som aldri testes — det er ikke etterlevelse. Det er papir. Og tilsynsmyndigheter er trent til å se forskjellen.
Pragmatisk prioriteringsliste
Dere kan ikke gjøre alt samtidig. Men dere kan begynne riktig. Her er rekkefølgen jeg anbefaler:
- Risikoanalyse Kartlegg deres informasjonsressurser, identifiser trusler og sårbarheter, og vurder risikoene. Uten risikoanalyse vet dere ikke hvor dere skal bruke ressurser. Alt annet bygger på dette steget.
- Sikkerhetstiltak Implementer tiltak basert på risikoanalysen — ikke basert på hva leverandøren selger. Fokuser på de områdene som NIS2 Artikkel 21 spesifiserer: tilgangskontroll, kryptering, nettverkssikkerhet, opplæring.
- Insidensberedskap Bygg en insidenthåndteringsplan som faktisk fungerer. Definer roller, eskaleringsveier og rapporteringsmaler. Og test den — en plan som aldri er øvd på er bare en ønskeliste.
- Leverandørkontroll Identifiser hvilke leverandører som har tilgang til deres kritiske informasjonsressurser. Still sikkerhetskrav og følg opp. Dere kan ikke outsource deres ansvar.
Fra sjekkliste til systematikk
Det er en grunnleggende forskjell mellom organisasjoner som krysser av krav og organisasjoner som bygger virkelig sikkerhet. De førstnevnte har dokumenter. De sistnevnte har prosesser.
| Sjekkliste-tenkning | Systematisk sikkerhetsarbeid |
|---|---|
| ”Vi har en policy" | "Vi har en policy som følges, gjennomgås og oppdateres" |
| "Vi har gjort en risikoanalyse" | "Vi gjør risikoanalyser løpende og oppdaterer ved endringer" |
| "Vi har en insidensplan" | "Vi øver insidenthåndtering kvartalsvis" |
| "Vi stiller krav til leverandører" | "Vi følger opp leverandørers etterlevelse kontinuerlig” |
Digitalsikkerhetsloven handler ikke om å nå et sluttmål. Den handler om å vise at dere har et levende, systematisk sikkerhetsarbeid som utvikler seg i takt med virksomheten og trusselbildet.
Neste steg
Begynn med å være ærlige om hvor dere befinner dere. En GAP-analyse som kartlegger deres nåsituasjon mot digitalsikkerhetslovens krav er det mest effektive første steget. Det gir dere et tydelig bilde av hva som mangler — og hva som allerede fungerer.
Securapilots GAP-analysemodul hjelper dere kartlegge nøyaktig hvor dere står mot digitalsikkerhetslovens krav — uten å begynne fra null. Utgå fra deres eksisterende prosesser og bygg videre på det som allerede finnes.
Ofte stilte spørsmål
Hva skjer etter melding til NSM?
Melding er bare det første steget. Organisasjoner må nå implementere de sikkerhetstiltakene som digitalsikkerhetsloven krever — risikostyring, insidensberedskap, leverandørsikkerhet og ledelsesengasjement. NSM og sektormyndigheter kan når som helst innlede kontroller.
Hvilke er de vanligste feilene etter NIS2-melding?
De tre vanligste feilene er: å tro at melding innebærer at man er ferdig, å begynne med å kjøpe verktøy i stedet for å forstå sine prosesser, og å delegere hele ansvaret til IT-avdelingen.
Hvordan vet jeg om min organisasjon oppfyller digitalsikkerhetslovens krav?
Gjennomfør en GAP-analyse som kartlegger nåsituasjonen mot lovens kravområder. Det gir et tydelig bilde av hva som mangler og hjelper dere prioritere de mest kritiske tiltakene.
Kan tilsynsmyndigheten kontrollere oss allerede nå?
Ja. Digitalsikkerhetsloven trådte i kraft 17. oktober 2024 og tilsynsmyndighetene har rett til å gjennomføre kontroller. Det finnes ingen formell implementeringsperiode.
