Innføringen av NIS2-direktivet markerer et tydelig skifte i hvordan virksomheter må tenke rundt cybersikkerhet. Der tidligere regelverk i stor grad var teknisk orientert, stiller NIS2 langt strengere krav til styring, ansvar og menneskelige faktorer. Dette får direkte konsekvenser for bemanning, roller og hvordan virksomheter vurderer tillit og egnethet hos ansatte og innleide.
For mange bransjer som energi, finans, helse, transport, IT og leverandørledd, betyr dette at sikkerhet ikke lenger kan avgrenses til IT-avdelingen alene. Hele organisasjonen, fra styre og ledelse til operativt personell, blir en del av risikobildet.
Hvordan NIS2 påvirker bemanning i virksomheter
NIS2 skjerper kravene til hvordan virksomheter organiserer ansvar og kompetanse innen sikkerhet. Dette påvirker både hvem man ansetter, hvordan roller defineres, og hva som må kunne dokumenteres overfor tilsynsmyndigheter.
Flere og tydeligere roller
Mange virksomheter vil måtte formalisere roller som tidligere har vært utydelige eller delt mellom flere funksjoner. Typisk ser man behov for:
- dedikerte sikkerhetsroller (for eksempel CISO, sikkerhetsleder eller risikoeier)
- tydelig ansvar hos ledere, også utenfor IT
- ressurser for hendelseshåndtering, risikostyring og etterlevelse
Man skal kunne vise til hvem som faktisk har ansvar og myndighet når noe skjer
Økte krav til kompetanse
NIS2 legger eksplisitt vekt på at både ansatte og ledelse skal ha tilstrekkelig forståelse for cybersikkerhetsrisiko. Når og hvem man varsler, følger opp og kommer med hendelsesrapporter. Det holder ikke lenger å «delegere alt til IT».
I praksis betyr dette strengere krav ved rekruttering, behov for nyansettelser eller omskolering og kontinuerlig opplæring, tilpasset roller og ansvar. Hvor dette ansvaret ligger og hvor mange som skal være involvert blir opp til hvert enkelt selskap, men felles for alle er at flere ansatte og ledelsen blir i større grad involvert.
Kompetanse blir dermed ikke bare et HR eller IT tema, men heller et regulatorisk krav for hele selskapet.
Mer fokus på intern risiko
Direktivet anerkjenner tydelig at menneskelige feil og interne trusler er blant de største sårbarhetene i moderne virksomheter. Dermed blir faktorer som pålitelighet, tillit og rolleegnethet en integrert del av virksomhetens sikkerhetsarbeid, ikke bare et personalspørsmål.
Er du usikker på om NIS2 påvirker din virksomhet? Se vår oversikt over hvem som påvirkes her.
NIS2-krav som direkte berører ansatte og roller
Selv om NIS2 er risikobasert og fleksibelt, er det flere krav som i praksis treffer bemanning direkte.
a) Styring og ansvar, ledelsen pålegges ansvar
NIS2 innfører tydelig ledelsesansvar for manglende etterlevelse. Styre og toppledelse må kunne dokumentere:
- hvem som har ansvar for sikkerhet
- at disse personene er kvalifiserte
- at beslutninger tas på et informert og dokumentert grunnlag
«Vi visste ikke» er ikke lenger et akseptabelt svar etter en hendelse.
b) Tilgangskontroll og rolleegnethet
Direktivet forutsetter at bare personer med reelt behov får tilgang til kritiske systemer og informasjon. Roller må vurderes basert på:
- risiko
- sensitivitet
- konsekvens ved feil, misbruk eller kompromittering
Dette stiller høyere krav til hvordan virksomheter vurderer ansatte i nøkkelroller og hvordan disse vurderingene dokumenteres.
c) Kompetanse og opplæring
Virksomheten må kunne vise at:
- ansatte har nødvendig sikkerhetskompetanse
- opplæring er systematisk og kontinuerlig
- opplæring er tilpasset roller, ikke bare generell e-læring
Dette knytter HR, sikkerhet og compliance tettere sammen enn tidligere.
d) Leverandører og innleide
Konsulenter, vikarer og leverandører er en del av risikobildet i NIS2. I mange tilfeller forventes det at de vurderes etter tilsvarende kriterier som egne ansatte, og at deres roller og tilganger er risikovurdert og begrunnet.
Kort oppsummert:
-
NIS2 stiller skjerpede krav til hvordan virksomheter håndterer ansatte og roller innen sikkerhet.
-
Ledelsen får et tydelig ansvar for å dokumentere hvem som har sikkerhetsansvar og at disse er kvalifiserte.
-
Tilganger må styres strengt basert på behov og risiko, særlig for kritiske roller.
-
Virksomheter må sikre at ansatte har riktig kompetanse gjennom kontinuerlig og rollebasert opplæring.
-
Kravene gjelder også konsulenter og leverandører, som må vurderes og følges opp på lik linje med egne ansatte.
3. Hvordan bakgrunnssjekk kan støtte NIS2-arbeidet
NIS2 stiller ikke et eksplisitt krav om bakgrunnssjekk. Likevel kan bakgrunnssjekk være et viktig virkemiddel for å oppfylle flere av direktivets krav, dersom det brukes riktig, proporsjonalt og risikobasert.
Rolleegnethet i risikoutsatte stillinger
For stillinger med:
-
tilgang til kritisk infrastruktur
-
sikkerhets- eller administratorrettigheter
-
økonomisk kontroll
-
beslutningsmyndighet
kan bakgrunnssjekk bidra til å:
-
redusere insider-risiko
-
styrke vurderingen av rolleegnethet
-
dokumentere at virksomheten har gjort rimelige og forholdsmessige tiltak
Dokumentasjon overfor tilsyn
Ved tilsyn eller sikkerhetshendelser kan virksomheten vise at:
-
ansettelser og rolleplasseringer er risikovurdert
-
tillit er ikke basert på magefølelse alene
-
tiltak er begrunnet, dokumentert og konsistente
Dette er i tråd med NIS2s sterke fokus på etterprøvbarhet.
Støtte til tilgangsstyring og livssyklus
Bakgrunnssjekk kan inngå som:
-
beslutningsgrunnlag for tilgangsnivå
-
del av onboarding og offboarding
-
ett av flere lag i en «defence in depth»-tilnærming
Det er viktig å understreke at bakgrunnssjekk ikke er en erstatning for tekniske eller organisatoriske kontroller, men et supplement.
Vi kan hjelpe dere møte kravene
NIS2 flytter sikkerhet fra å være et rent teknisk anliggende til å bli et helhetlig styrings- og organisasjonsspørsmål. Dette innebærer at virksomheter må forstå og etterleve nye krav knyttet til både struktur, ansvar og menneskelige faktorer.
Semac kan hjelpe dere med å tolke disse kravene og sikre at behovene deres blir dekket på en helhetlig måte. Gjennom blant annet bevissthetstrening og kurs innen personellsikkerhet bidrar Semac til å styrke organisasjonens evne til å møte kravene i NIS2, både på individ- og virksomhetsnivå. Ta kontakt med oss i dag!
