Ny lov ansvarliggjør styret for «oppetid»

av | 25. mai 2018 @ 08:00

Mens alle snakker om GDPR er oppmerksomheten om en annen ny og stor lovendring betydelig mindre. 1 januar 2019 trer den nye sikkerhetsloven i kraft. Den utvider styrets ansvar for beslutninger som tas – eller ikke tas, og konsekvensene av dem. 

Sommeren 2017 ble Maersk rammet av ransomware. I ettertid har det kommet frem at praktisk talt alle selskapets servere og PCer ble gjort ubrukelige av løsepengeviruset NotPetya. Selskapet greide å erstatte 4.000 servere, 45.000 PCer og 2.500 applikasjoner i løpet av 10 dager. Kostnaden er anslått til mellom 200 og 300 millioner dollar.

Maersk frakter en femtedel av alt som globalt fraktes til sjøs. Man kan trygt si at selskapet utøver en viktig samfunnsfunksjon, ikke bare på nasjonalt, men også på et planetarisk nivå.

Fra 1 januar 2019 kan norske virksomheter med langt mindre samfunnsviktige funksjoner enn Maersk få et utvidet ansvar for ikke å bli rammet av verken løsepengevirus eller andre ting som hindrer tilgang til tjenesten.

Da trer Lov om nasjonal sikkerhet – sikkerhetsloven – i kraft.

Den vil ha vidtrekkende konsekvenser for mange norske virksomheter. Og det er ikke noe styre og daglig leder kan overlate til IT-avdelingen. Datasikkerhet og driftssikkerhet blir i langt større grad en styresak enn en sak for IT.

– En sentral driver for at det kommer ny lov er at mange flere deler av samfunnet er blitt kritisk avhengig av cybersikkerhet, sier leder for strategisk cybersikkerhet i NSM, Bente Hoff.

– Nåværende sikkerhetslov legger stor vekt på beskyttelse av gradert informasjon. Den nye loven endrer ikke på det, men nedslagsfeltet vil trolig også utvides til å omfatte tjenester der tilgjengelighet er viktig for grunnleggende samfunnsfunksjoner, som for eksempel betalingsformidling, samferdselstjenester og strøm.

Loven gjelder først og fremst statlig, fylkeskommunal og kommunal virksomhet, men departementene kan fatte vedtak om andre virksomheter som loven skal gjelde for. Dette vil kunne være virksomheter som behandler sikkerhetsgradert informasjon, råder over informasjon eller infrastruktur eller aktivitet som har avgjørende betydning for nasjonale funksjoner.

Nasjonal sikkerhetsmyndighet har og vil ha det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven, mens departementene har ansvar innenfor sine områder.

Virksomhetene får en plikt til å varsle om sikkerhetstruende virksomhet, og begrepet «sikkerhetstruende aktiviteter» utvides sammenlignet med dagens sikkerhetslov.

Den nye loven belønner indirekte de som har kommet langt i digitaliseringen.

– Gamle IT-systemer er generelt mer sårbare enn nye, minner Bente Hoff om. – Derfor vil graden av innsats på modernisering også påvirke cybersikkerheten.

– Ofte vet ikke styret i virksomhetene at beslutninger de tar kan ha betydning for nasjonal sikkerhet, sier hun.

– Den nye loven vektlegger spesielt dette ansvaret. Det handler om risikovurderinger, og det handler om å bygge kompetanse på cybersikkerhet som gjennomsyrer hele virksomheten, inkludert forretningsutvikling, innkjøp og kontraktsutforming.

Paal Leveraas
Følg Paal
Artikler av Paal Leveraas (alle)

0 kommentarer

Legg inn en kommentar

Alle artikler

alkohol på arbeidsplassen

Hvorfor vi skal snakke om alkohol på arbeidsplassen

|
Muliggjørerne er sånne som deg og meg, vi som legger til rette for alt fra vinlotteri og fri bar på julebordet, for så å se gjennom fingrene med bakrusen på jobb dagen etter.
Vil du ha en tirsdag? Værsågod! Ta fire!

Vil du ha en tirsdag? Værsågod! Ta fire!

|
Gjennom hele november har du blitt mast på om å kjøpe. tilt.work går motstrøms. Vi vil ikke ha noe av deg, men vi vil gjerne gi bort fire tirsdager.
dårlige møter

Psykologien bak vår tids møtehysteri

|
Alle er enige om at altfor mange møter er intet annet enn fullstendig bortkastet tid. Men ingen gjør noe med det.
eldrebølgen som ressurs

Slik skal eldrebølgen bli en positiv ressurs

|
En unik gruppe er under oppseiling i Larvik. Visdomsprenørene samler eldre med skapende livskraft.
myndiggjort kommunikasjon

Myndiggjort kommunikasjon i praksis

|
I myndiggjort kommunikasjon vil du opptre på samme måte til kunder, medarbeidere, kolleger og dine foresatte.
sju paradokser i ledelse

Syv paradokser i ledelse

|
Ledelse er forbasket vanskelig. Det er en rolle full av selvmotsigende forventninger. Her er syv slike.
dysfunksjoner i ledergruppa

5 dysfunksjoner i ledergruppen

|
5 dysfunksjoner som alle gir en rekke uheldige virkninger. Sjekk om det gjelder din ledergruppe.
komplekse utfordringer

Om å møte kompleksitet med enkelhet

|
Må komplekse utfordringer møtes med komplekse løsninger?
tillit til

Tillit og tålmodighet

|
Det kan være sårende ikke å bli vist tillit. Da er det viktig å huske at motsatsen til tillit ikke trenger være mistillit. Det kan like gjerne være at den det gjelder, trenger mer tid til å høste sine erfaringer om hvem han eller hun har med å gjøre denne gangen.
Tirsdag er A-HA!-dag

Tirsdag er A-HA!-dag

Hver tirsdag siden 2010 har tusenvis av abonnenter fått ukebrevet Tirsdag morgen i sin innboks. Noen blir inspirert, noen blir provosert, mange får en eller flere a-ha!-opplevelser. Meld deg på her. Det er gratis. 

Fantastisk! Sjekk mailen din for en ekstra bekreftelse. Så ses vi på tirsdag.

Pin It on Pinterest

Share This
%d bloggere liker dette: