Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Anders Lavesen, der er partner og juridisk chef i selskabet Qblue, siger til Computerworld, at han er bekymret for, hvordan danske virksomheder skal kunne overholde NIS2 direktivet.
Særligt ét centralt begreb er faldet Anders Lavesen for brystet. Begrebet hedder ’state-of-the-art’-teknologi og oversættes til ’det aktuelle teknologiske stade’.
Det forventes, at virksomheder i deres arbejde med at overholde NIS2 direktivet ikke bare følger standarder men også tager højde for state-of-the-art-teknologi.
Ifølge Anders Lavesen er state-of-the-art åbenbart et vidt begreb, som man ingen steder kan slå op og få en klar definition af.
Han sammenligner med patentretten, hvor man kan tjekke om noget tilsvarende er opfundet, og allerede har søgt patent, inden man søger om patent på sin egen opfindelse.
Men denne sammenligning siger måske mere om, at Anders Lavesen i højere grad er en dygtig jurist, end han er it-sikkerhedsekspert.
Inden for it-sikkerhed arbejder man altid efter state-of-the-art-teknologi. Det er man simpelthen nødt til.
Når noget først er blevet standard, er de it-kriminelle allerede langt videre.
Og den sikkerhed, man vil opnå ved at arbejde med standarder, vil – groft sagt – svare til at arbejde med matematik for 8. klasse, mens de it-kriminelle bevæger sig rundt på universitetsniveau.
Det er muligt, at Anders Lavesen får ret i, at det bliver en stor udfordring for mange virksomheder at følge med og konstant være på forkant med trusselsbilledet og de nyeste teknologiske landvindinger.
Men ikke desto mindre er det, hvad der kræves for at have et effektivt forsvar mod malware og hacker-angreb.
Og vi må ikke glemme, at det primære formål med NIS2 netop er at øge it-sikkerhedsniveauet for vores egen og samfundets skyld - ikke at være NIS2 compliant.
Men som Lavesen helt korrekt nævner, så står der ingen steder, at “state-of-the-art skal benyttes, men det skal have været en del af analysen om at sikre virksomheden”.
Og det er netop sagens kerne for den enkelte organisation, der løbende skal tage stilling til, om man har den nødvendige og relevante kontrol og teknologi i forhold til sin risikoappetit.
Ifølge NIS2 skal man træne sine medarbejdere og ledelse i at forstå, hvad det er, de skal forholde sig til. Sikkerhedsarbejdet skal afspejle den potentielle risiko, organisationen udsætter sig for ved ikke at sikre sig.
Det forventes altså ikke, at sikkerhedsniveauet er ens for alle typer og størrelser af virksomheder og organisationer.
Men for at kende sit påkrævede sikkerhedsniveau er man i sagens natur nødt til at have foretaget en trusselsvurdering og heraf udarbejde en risikoanalyse og kende til de løsninger, der skal til for at sikre den aktuelle virksomhed.
Man behøver altså kun kende til den state-of-the-art-teknologi, der berører risikoen for den pågældende virksomhed.
Det er vel i den forbindelse unødvendigt at nævne, at risikovurderinger bør foretages med jævne mellemrum, da verden forandrer sig.
Tilsvarende skal man som it-sikkerhedsansvarlig også løbende udvide sit kendskab til state-of-the-art-teknologi. Men det må anses for at være en del af dét et it-sikkerhedsjob består af.
Dermed ikke sagt at man kan komme sovende til sin efterlevelse af NIS2. Der skal med garanti foretages en række analyser, justeringer, uddannelser og opdateringer hos langt de fleste virksomheder og organisationer.
Men det er et nødvendigt stykke arbejde, der burde have været udført alligevel, uanset om NIS2 var trådt i kraft eller ej. Alt er faktisk ’business as usual’ i it-sikkerhedsbranchen.
I øvrigt kunne det da være interessant at høre, hvor Anders Lavesen har fået et så detaljeret kendskab til NIS2-lovens ordlyd, i og med direktivet netop er blevet udskudt, fordi den danske lovformulering endnu ikke er klar.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
