NIS2

Compliance reduserer ikke risiko. Styring gjør det.

Digitalsikkerhetsloven er i kraft. Men compliance uten styring er bare papir. Her er hvorfor governance avgjør om dere klarer kravene.

Kim Borg
Kim Borg Grunnlegger & CEO
6 min lesing
  1. 24
    % av nordiske organisasjoner hadde en cybersikkerhetsstrategi forankret i ledelsen ved NIS2-ikrafttredelsen
    MSB
  2. 68
    % av sikkerhetshendelser skyldes manglende etterlevelse av eksisterende policyer
    Verizon DBIR 2025
  3. Digitalsikkerhetsloven
    Digitalsikkerhetsloven implementerer NIS2-direktivet i norsk lov
    Stortinget
CEO in conversation with board member about governance

Jeg har hatt den samme samtalen med tre ulike ledergrupper den siste måneden. Alle har investert. Alle har verktøy. Alle har engasjert konsulenter og igangsatt sertifiseringsarbeid. Men ingen av dem kunne svare på et enkelt spørsmål: Hvor finnes våre alvorligste mangler?

Digitalsikkerhetsloven, som implementerer NIS2-direktivet i Norge, stiller strenge krav til organisasjoner i kritiske sektorer. Mange organisasjoner er ikke klare. Ikke fordi de mangler budsjett, ikke fordi de mangler verktøy, men fordi styringen aldri har eksistert i praksis.

Min erfaring er tydelig: Compliance reduserer ikke risiko. Styring gjør det. Organisasjoner som klarer kravene er de der styring finnes i hvordan beslutninger tas, ikke i hvordan dokumenter arkiveres.

Tre investeringer som ikke hjelper uten styring

Organisasjoner investerer i tre ting som alle ser bra ut på papiret, men som ikke skaper sikkerhet uten fungerende styring.

Verktøy uten etterlevelse

SIEM, EDR, sårbarhetsskanning. Verktøykassene vokser. Men 68 % av sikkerhetshendelser skyldes at eksisterende policyer ikke følges, ikke at verktøy mangler. Et verktøy som ingen bruker riktig er bare en kostnad. Spørsmålet er ikke «Har vi kjøpt riktig verktøy?» men «Følger noen faktisk de sikkerhetstiltakene vi har?»

Sertifiseringer uten liv

ISO 27001-sertifikater. SOC 2-rapporter. Imponerende på papiret. Men hvis ledelsessystemet lever i en mappe som ingen åpner mellom revisjonene, beskytter det ingenting. En sertifisering beviser at dere hadde styring ved ett tidspunkt. Den sier ingenting om i dag.

Konsulenter uten kunnskapsoverføring

Eksterne konsulenter som bygger rammeverket, skriver policyene og deretter forlater. Kunnskapen går ut døren med dem. Seks måneder senere husker ingen hvorfor en kontroll ble implementert eller hvordan den skal vedlikeholdes. Konsulenter skaper verdi, men bare hvis kunnskapen blir igjen.

Hva digitalsikkerhetsloven faktisk krever

Digitalsikkerhetsloven er ikke en sjekkliste. Den krever styring: at prosesser lever, at ledelsen er engasjert, og at organisasjonen kan vise at sikkerhetsarbeidet fungerer i praksis.

Digitalsikkerhetsloven krever styring, ikke bare dokumenter:

  1. Ledelsens ansvar (Artikkel 20): Styret skal godkjenne og overvåke, ikke bare signere
  2. Risikostyring (Artikkel 21): Systematisk og løpende prosess, ikke engangsvurdering
  3. Effektivitetsvurdering (Artikkel 21.2g): Måle om tiltakene faktisk fungerer
  4. Opplæring (Artikkel 20.2): Ledelsen skal forstå risikoene, ikke bare ha gjennomført et kurs

Konsekvens: Tilsynsmyndigheten vil ikke bare granske om dokumentene finnes. De vil granske om styringen lever.

Vi har tidligere skrevet om hva digitalsikkerhetsloven innebærer i praksis og om ledelsens spesifikke ansvar. Denne artikkelen handler om det underliggende problemet: hvorfor styring mangler til tross for at verktøyene og dokumentene finnes.

Hvorfor styring mangler: tre mønstre

I mine møter med ledergrupper ser jeg de samme mønstrene gjenta seg. Problemet er sjelden uvilje. Det er at organisasjonen aldri har bygd de strukturene som trengs.

  1. Sikkerhet har aldri vært en ledelsessak Historisk har cybersikkerhet vært IT-avdelingens ansvar. Det var teknisk. Det var noen andres budsjett. Konsekvensen: når digitalsikkerhetsloven krever at ledelsen tar ansvar, finnes ingen innarbeidet atferd. Ledelsen har aldri hatt cybersikkerhet på agendaen på en meningsfull måte, og vet ikke hvordan de skal begynne.
  2. Compliance ble målet, ikke middelet Mange organisasjoner har optimalisert for å bestå revisjonen snarere enn å redusere risiko. Den årlige ISO-gjennomgangen ble en sprint for å oppdatere dokumenter, ikke en anledning til å forbedre sikkerheten. Insentivstrukturen belønnet rene rapporter, ikke ærlige vurderinger.
  3. Ingen eier helhetsbildet IT eier verktøyene. Juridisk eier compliance. CISO-en, hvis det finnes en, sitter mellom dem uten mandat. Risikoregistre lever i ulike systemer. Ingen har et komplett bilde, og ingen er insentivisert til å skape et.

Grunnspørsmålet: vet vi hvor våre alvorligste mangler finnes?

Dette er spørsmålet som avgjør alt. Ikke «Oppfyller vi kravene?» men «Vet vi faktisk hvor vi er svakest?»

Det viktigste spørsmålet et styre kan stille seg er ikke «Er vi compliant?» men «Vet vi hvor våre alvorligste mangler finnes?» Hvis svaret er nei, eller stillhet, da har dere et styringsproblem, uansett hvor mange verktøy dere har kjøpt.

Jeg ser det ofte i mine møter med ledergrupper som tror de er klare fordi de har kjøpt en plattform eller engasjert en partner. Men ingen har stilt det grunnleggende spørsmålet.

Fem tegn på at styring mangler:

  • Ledelsen kan ikke navngi de tre største risikoene uten å spørre IT
  • Risikoregisteret ble sist oppdatert i forkant av forrige revisjon
  • Hendelsesprosessen har aldri vært testet i en reell situasjon
  • Sikkerhetspolicyen ble godkjent, men ingen vet hvem som eier oppfølgingen
  • «Vi har det dokumentert» er standardsvaret, men ingen kan vise at det etterleves

Fra compliance til styring: fem steg

Å gå fra dokumentbasert compliance til levende styring er ikke et øyeblikksprosjekt. Men det begynner med enkle, konkrete steg.

  1. Gjennomfør en ærlig GAP-analyse Ikke bare mot kravene, men mot virkeligheten. Mål ikke bare om dokumentene finnes, men om prosessene etterleves. Snakk med medarbeiderne, ikke bare de ansvarlige. Vår GAP-analyseguide viser steg for steg hvordan du gjør dette.
  2. Forankre hos ledelsen med risikobilde, ikke regelbok Presenter resultatet i forretningstermer. Ikke «vi oppfyller 64 % av NIS2» men «vi har tre mangler som hver kan koste oss X kroner.» Ledelsen handler på risiko og konsekvens, ikke på prosenttall.
  3. Utpek eiere for hvert risikoområde Ingen risiko uten eier. Ingen tiltak uten ansvarlig. Ingen frist uten oppfølging. Styring krever at ansvar er personlig og sporbart, ikke kollektivt og vagt.
  4. Bygg styring inn i eksisterende beslutningsprosesser Gjør cybersikkerhet til et fast punkt på ledergruppens agenda. Ikke som et separat «sikkerhetsmøte» men integrert i virksomhetsbeslutninger: nye leverandører, systemskifter, organisasjonsendringer.
  5. Mål og følg opp kontinuerlig Styring som ikke måles er ønsketenkning. Definer KPI-er. Rapporter til ledelsen kvartalsvis. Bruk avvik som læring, ikke som fiasko.

Compliance som livsstil, ikke prosjekt

Organisasjoner som behandler digitalsikkerhetsloven som et prosjekt å «bli ferdige med» vil være tilbake på rute én når neste regelverk kommer. Organisasjoner som bygger styring inn i sin virksomhet oppdager at nye krav blir inkrementelle, ikke revolusjonerende.

Compliance-prosjektet vs. styringsmodellen:

  • Compliance-prosjektet: Begynner ved ny lov. Slutter ved revisjon. Eies av prosjektleder. Måles i prosent oppfylt. Neste regelverk = ny omstart.
  • Styringsmodellen: Lever hele tiden. Eies av ledelsen. Måles i risiko redusert. Ny regulering blir en iterasjon, ikke en krise.

De organisasjonene jeg møter som faktisk er klare, er aldri de med flest verktøy eller flest sertifiseringer. Det er de der styret kan svare på spørsmålet: Hvor er vi svakest, og hva gjør vi med det?

Hvordan ser det ut i din organisasjon? Lever styringen i beslutningene eller i dokumentene?

Slik kan Securapilot hjelpe

  • GAP-analyse mot virkeligheten: Kartlegg ikke bare dokumentasjon, men faktisk etterlevelse
  • Risikostyring med eiere: Hver risiko har en ansvarlig, hvert tiltak en frist
  • Ledelsesdashboard: Sanntidsoversikt for styre og ledelse i forretningstermer
  • Kontinuerlig oppfølging: Automatiske påminnelser og statusoppdateringer
  • Sporbarhet: Fullstendig revisjonslogg for tilsynsmyndigheter

Bestill en demo og se hvordan styring kan bli virkelighet i deres organisasjon.

Ofte stilte spørsmål

Hva er forskjellen mellom compliance og styring?

Compliance handler om å oppfylle formelle krav: krysse av kontroller, skrive policyer, bestå revisjoner. Styring (governance) handler om at sikkerhet faktisk styrer beslutninger i hverdagen: at noen eier risikoer, at avvik følges opp, og at ledelsen tar informerte beslutninger basert på virkelig risikobilde.

Kan man være NIS2-compliant uten reell styring?

Formelt kanskje, men ikke i praksis. NIS2 og digitalsikkerhetsloven krever at ledelsen aktivt godkjenner, overvåker og tar ansvar. Det er ikke nok å ha dokumentene. Tilsynsmyndigheten vil granske om prosessene faktisk lever.

Hvordan vet vi om styringen vår fungerer?

Still tre spørsmål: Vet vi hvor våre alvorligste mangler finnes? Tar ledelsen beslutninger basert på aktuelt risikobilde? Følges sikkerhetstiltak opp jevnlig? Hvis svaret på noen av disse er nei, finnes det et styringsgap.

Hva er første steg for å gå fra compliance til styring?

Begynn med en ærlig GAP-analyse som ikke bare kartlegger dokumentasjon, men måler om prosesser faktisk etterleves. Forankre resultatet hos ledelsen og lag en handlingsplan med tydelige eiere.

#styring#governance#digitalsikkerhetsloven#NIS2#compliance#risikostyring#ledelse

Flere artikler

Vi bruker anonym statistikk uten informasjonskapsler for å forbedre nettstedet. Les mer