Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I mit arbejde som it-arkitekt og gennem samtaler med andre it-arkitekter og sikkerhedsfolk oplever jeg, at indførelsen af NIS2 har sat mange it-organisationer midt i et skifte, som sjældent bliver italesat direkte.
Ikke fordi kravene er ukendte, men fordi konsekvenserne rækker langt videre end det, vi traditionelt forbinder med it-sikkerhed.
NIS2 flytter risikovurdering fra dokumentation til styring
Med NIS2-loven pålægges it-organisationer ikke længere kun at udvikle og drifte systemer og levere stabil teknologi, men også at gennemføre systematiske risikovurderinger, etablere kontrolstrukturer og anvende disse aktivt som styringsgrundlag for prioriteringer og ledelsesmæssige beslutninger.
Risikovurdering bliver dermed ikke blot et dokumentationskrav, men et centralt redskab i organisationens styring.
I praksis er det en ny type opgave.
Ikke fordi risikovurdering er ukendt i it-organisationer, men fordi den flyttes fra at være et støtteværktøj for specialister til at være et ledelsesredskab med direkte betydning for, hvilke initiativer der prioriteres, hvilke løsninger der accepteres, og hvilke risici organisationen vælger at leve med.
Nye krav, men ikke nye ressourcer eller roller
Det stille dilemma opstår, når denne opgave forventes løftet inden for de eksisterende organisatoriske rammer.
Ofte uden flere hænder, nye roller eller en tydelig afklaring af ansvar og prioritering.
Nye krav til risikovurdering, dokumentation og opfølgning lægges oven på drift og udvikling, uden at det samtidig bliver klart, hvad der dermed skal fylde mindre.
Samtidig oplever jeg, at det ofte overses, at NIS2-loven ikke blot introducerer flere opgaver, men en anden organisationslogik.
Hvor it-organisationer traditionelt har været teknologidrevne og løsningsorienterede, forudsætter NIS2, at organisationen også fungerer som en risikostyrende funktion.
En funktion, der løbende skal identificere usikkerhed, vurdere konsekvenser og dokumentere valg i situationer, hvor der sjældent findes entydige eller optimale løsninger.
Fra problemløsere til risikofortolkere
Skiftet er ikke kun organisatorisk, men også psykologisk.
Medarbejdere og ledere forventes i stigende grad at formulere og tage ansvar for, hvad der kan gå galt, hvor løsninger ikke er tilstrækkelige, og hvilken risiko der accepteres.
Det indebærer en bevægelse fra primært at være problemløsere og leverandører til også at være fortolkere af usikkerhed og medansvarlige for risikobeslutninger.
For mange organisationer er det en ny rolle, som kræver både tid, nye kompetencer og en anden måde at forstå ansvar på.
Jeg ser samtidig en risiko for, at compliance- og risikostyringsaktiviteter vokser uden klar styring.
Når ejerskabet til implementeringen af NIS2-loven er uklart, opstår der let parallelle initiativer på tværs af arkitektur, sikkerhed, indkøb, udvikling og drift.
Intentionen er gennemgående god – ønsket om ansvarlige og velovervejede beslutninger – men uden fælles rammer risikerer risikovurdering, kontrol og rapportering at udvikle sig til et administrativt lag, der gradvist begynder at konkurrere med organisationens kerneopgaver.
Kravene i NIS2-loven er ikke urimelige. Dilemmaet er, at de forudsætter en moden risikostyringspraksis med klare roller, fælles metoder og ledelsesmæssig opbakning, samtidig med at implementeringen ofte forventes at ske uden et tydeligt strategisk valg.
Organisationen skal på samme tid fortsætte udvikling og drift, ændre kultur og mindset og dokumentere valg og fravalg – uden at dette nødvendigvis anerkendes som det organisationsskifte, det reelt er.
Spørgsmålet er derfor ikke, om NIS2 er vigtigt. Spørgsmålet er, om vi tør tale åbent om, hvad NIS2-loven kræver af vores it-organisationer – og hvad det betyder for den måde, vi organiserer, leder og prioriterer it-sikkerhed på i praksis.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
