Vad är de grundläggande förutsättningarna som vi behöver säkerställa när det gäller IT-säkerhet?
Varje verksamhet är unik så det går inte att säga att det finns en lösning som kommer passa alla. En viktig aspekt är dock förmågan att rapportera incidenter som påverkar tjänster som omfattas av NIS2 inom 6–24 timmar. Det inkluderar en detaljerad incidentrapport, en kartläggning av verksamhetens system, hur de är kopplade, loggar och analys kring hur säkerheten påverkats och mycket mer. Om man förbereder sig för att kunna fylla i en sådan incidentrapport så innebär detta att man samtidigt skapar sig en bild över eventuella problemområden.
För verksamheter som redan har god kontroll över sina processer är detta alltså kanske inte en enorm utmaning. Men vad säger du om de som har mycket begränsad kunskap och resurser på IT-säkerhetsområdet?
För verksamheter med mindre IT-avdelningar så kan det vara ett mycket omfattande arbete som behöver utföras och därmed innebära en betydande investering. Men det är en investering som lönar sig i det långa loppet. Kostnaderna för nordiska företag vid ett dataintrång värderades i en rapport från IBM till att i medel vara 1,91 Miljoner USD och det blir allt vanligare att även mindre företag utsätts för den här typen av problem. EU:s riktlinjer kan påverka hur företag måste agera, och här är det viktigt att kunna agera snabbt och strategiskt.
Och då kan det handla om tekniska förändringar som vi behöver göra?
Absolut, men kanske även organisatoriska. Många företag är reaktiva snarare än proaktiva när det gäller IT-säkerhet. Det krävs inte bara tekniska förändringar utan också förändringar inom governance och incidenthantering. Var man börjar beror helt på din verksamhet, och det är här vår roll kommer in. Vi hjälper dig att ställa rätt frågor och skapa en anpassad strategi baserad på din verksamhets styrkor och svagheter.
Kan du dela med dig av hur Advania samarbetar med verksamheter för att täcka de olika aspekterna av NIS2?
Inom Advania har vi egna expertresurser och samarbetar med andra aktörer för att identifiera och adressera de mest akuta behoven hos våra kunder. Det handlar inte bara om att implementera en produkt eller tjänst utan om att skapa en holistisk och hållbar lösning. Vi börjar med en analys och ser om det kanske finns befintliga system som man kan ta som utgångspunkt, och börjar där.
Slutligen, vilket råd har du för verksamheter som vill förbereda sig för NIS2?
Det finns ingen universallösning. Vi rekommenderar att man ser till sina unika behov och identifierar sina säkerhetsgap. IT-säkerhet är inte ett kort projekt som utförs och avslutas utan ska ses som en naturlig del i alla delar av företagets verksamhet. Det handlar om att vara proaktiv, analysera befintliga resurser och göra insatser där det ger snabbast och mest betydande resultat. Vi på Advania ser det som en gemensam ansträngning där vi, tillsammans med kunden, tar gemensamma steg för en säker och effektiv IT-miljö.