tilt | For deg som jobber i ... | Ledelse | Ny lov ansvarliggjør styret for «oppetid»

Ny lov ansvarliggjør styret for «oppetid»

fredag 25. mai 2018 @ 08:00

Mens alle snakker om GDPR er oppmerksomheten om en annen ny og stor lovendring betydelig mindre. 1 januar 2019 trer den nye sikkerhetsloven i kraft. Den utvider styrets ansvar for beslutninger som tas – eller ikke tas, og konsekvensene av dem. 
Av Paal Leveraas

Sommeren 2017 ble Maersk rammet av ransomware. I ettertid har det kommet frem at praktisk talt alle selskapets servere og PCer ble gjort ubrukelige av løsepengeviruset NotPetya. Selskapet greide å erstatte 4.000 servere, 45.000 PCer og 2.500 applikasjoner i løpet av 10 dager. Kostnaden er anslått til mellom 200 og 300 millioner dollar.

Maersk frakter en femtedel av alt som globalt fraktes til sjøs. Man kan trygt si at selskapet utøver en viktig samfunnsfunksjon, ikke bare på nasjonalt, men også på et planetarisk nivå.

Fra 1 januar 2019 kan norske virksomheter med langt mindre samfunnsviktige funksjoner enn Maersk få et utvidet ansvar for ikke å bli rammet av verken løsepengevirus eller andre ting som hindrer tilgang til tjenesten.

Da trer Lov om nasjonal sikkerhet – sikkerhetsloven – i kraft.

Den vil ha vidtrekkende konsekvenser for mange norske virksomheter. Og det er ikke noe styre og daglig leder kan overlate til IT-avdelingen. Datasikkerhet og driftssikkerhet blir i langt større grad en styresak enn en sak for IT.

– En sentral driver for at det kommer ny lov er at mange flere deler av samfunnet er blitt kritisk avhengig av cybersikkerhet, sier leder for strategisk cybersikkerhet i NSM, Bente Hoff.

– Nåværende sikkerhetslov legger stor vekt på beskyttelse av gradert informasjon. Den nye loven endrer ikke på det, men nedslagsfeltet vil trolig også utvides til å omfatte tjenester der tilgjengelighet er viktig for grunnleggende samfunnsfunksjoner, som for eksempel betalingsformidling, samferdselstjenester og strøm.

Loven gjelder først og fremst statlig, fylkeskommunal og kommunal virksomhet, men departementene kan fatte vedtak om andre virksomheter som loven skal gjelde for. Dette vil kunne være virksomheter som behandler sikkerhetsgradert informasjon, råder over informasjon eller infrastruktur eller aktivitet som har avgjørende betydning for nasjonale funksjoner.

Nasjonal sikkerhetsmyndighet har og vil ha det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven, mens departementene har ansvar innenfor sine områder.

Virksomhetene får en plikt til å varsle om sikkerhetstruende virksomhet, og begrepet «sikkerhetstruende aktiviteter» utvides sammenlignet med dagens sikkerhetslov.

Den nye loven belønner indirekte de som har kommet langt i digitaliseringen.

– Gamle IT-systemer er generelt mer sårbare enn nye, minner Bente Hoff om. – Derfor vil graden av innsats på modernisering også påvirke cybersikkerheten.

– Ofte vet ikke styret i virksomhetene at beslutninger de tar kan ha betydning for nasjonal sikkerhet, sier hun.

– Den nye loven vektlegger spesielt dette ansvaret. Det handler om risikovurderinger, og det handler om å bygge kompetanse på cybersikkerhet som gjennomsyrer hele virksomheten, inkludert forretningsutvikling, innkjøp og kontraktsutforming.

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

tilt.møteplasser

Siste artikler

Del dine tanker om denne artikkelen

0 Comments

Submit a Comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

På forsiden nå

Bærekraftig HR: Når mennesker, planet og profitt møtes

Bærekraftig HR: Når mennesker, planet og profitt møtes

|
Hvordan kan HR bidra til bærekraftsstrategien og selv bli bærekraftig? Modeller er ikke nok. Men de kan være et startpunkt.
Ingen grunn til panikk?

Ingen grunn til panikk?

|
En konferanse i regi av Samfunnsbedriftene og et møte med en professor har gjort meg litt mer optimistisk for et samfunn hvor alle, også næringslivet, tar ansvar for en bærekraftig fremtid.
helsestrategi for dine ansatte

Har du husket helsestrategi for dine ansatte?

|
Målet med en helsestrategi er at alle ansatte har fysisk og - ikke minst - psykisk overskudd.
myteknusing

Når en «bløff» blir «sannhet» fordi den gjentas ofte nok

|
Det er meningsløst å bringe videre en generell påstand om at 70 prosent av alle endringsinitiativ mislykkes.
Vi kan ikke overlate til andre å redde planeten

Vi kan ikke overlate til andre å redde planeten

|
Selskaper som i dag ikke har en bærekraftstrategi som de etterlever, har ikke livets rett.
Dagen før kvinnedagen: Den langsomme reisen fra én normal til en annen

Dagen før kvinnedagen: Den langsomme reisen fra én normal til en annen

|
Det er kvinnedag i morgen. Og som alltid hører vi røster som hevder at i Norge er vi nå så likestilte at kvinnedagen ikke trengs mer. Men dagen går ikke ut på dato før den gamle normalen er byttet med en ny hvor «likestilling» er en selvfølgelighet.
Varför inte tvärtom

Kunsten å tenke motsatt: Hva om vi ansatte gründerne på fastlønn?

|
Gründervirksomhet er bygget på risiko, stor fallhøyde og mulighet for store gevinster.
Return on Involvement

Motiverende samspill øker din ROI – Return on Involvement

|
Det skal så lite til for at en medarbeider opplever å bli sett, mens effekten ofte er stor.
ytringseffektivitet

Ytringsklima + lytteklima = ytringseffektivitet

|
Det å kunne uttrykke seg musikalsk, enten via et piano eller med en stemme, handler om å uttrykke noe på en slik måte at de som lytter kan få noe ut av det.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.