NIS2: Fra teknisk tema til styreansvar – slik ruster ledelsen seg før kravene treffer

På frokostseminaret vårt i høst åpnet Mazaher Kianpour, faglig ansvarlig og faglærer for cybersikkerhet ved Gokstad Akademiet, med en setning som fikk mange til å rette seg litt i stolen: «We didn’t know’ is no longer a defence – it is negligence.»

Og det traff.
For i årevis har cybersikkerhet vært noe som “IT fikser”. Noe styret får en statusoppdatering på når det passer. Men NIS2-direktivet endrer dette fundamentalt: Ansvar for cybersikkerhet ligger nå på styret og toppledelsen – ikke i serverrommet.

Når EU gjør noe til et lederansvar, er det ikke fordi de vil detaljstyre. Det er fordi konsekvensene av å ikke være forberedt har blitt så store at systemene våre ikke tåler at noen «håper det går bra» lenger.

Hvorfor alle plutselig snakker om NIS2

Mazaher, som forsker på hvordan EU-reguleringer påvirker virksomhetsstyring, forklarte det slik under seminaret:
Cyberangrep handler ikke bare om filer, brannmurer og tekniske hull. Det handler om drift, økonomi og omdømme.
«Cyber incidents hit the whole business — not just IT,» fortalte han, og pekte på eksempler der virksomheter har stått stille i uker etter et angrep.

NIS2 er laget for å løfte risikoen opp dit beslutningene tas: i styret. Det er her prioriteringene gjøres, budsjettene settes og ansvaret faktisk ligger.

«Kompetent styre» er ikke lenger et hyggelig kompliment – det er et krav

Kravene er mer omfattende enn mange er klar over: Ledelsen må kunne forklare, dokumentere og følge opp sikkerhetsarbeidet. Ikke nødvendigvis som eksperter, men på en måte som gjør at de faktisk kan vurdere risiko og kvalitet. Mazaher understreket dette tydelig:

Myndighetene forventer at styremedlemmer har en tilstrekkelig forståelse av cybersikkerhetens grunnprinsipper.
Altså: styret må vite nok til å stille riktige spørsmål, og forstå svarene.

Og dette er ikke bare intensjoner. Det finnes nå konkrete krav til hendelseshåndtering, rapportering, risikostyring, dokumentasjon, trening og styring. Ved en alvorlig hendelse skal virksomheten levere en tidligmelding innen 24 timer. Den formelle rapporten må være klar innen 72 timer.
Etter en måned skal en komplett gjennomgang være levert.

Alt dette må styret sørge for at er på plass, før en hendelse oppstår.

Konsekvensene ved å ikke være forberedt

Under frokostseminaret ble det tydelig for flere hvor omfattende NIS2 faktisk er.
Direktivet åpner for både virksomhetsbøter og personlige konsekvenser ved manglende etterlevelse. Bøtene kan komme opp i €10 millioner eller 2 % av global omsetning, og myndighetene kan kreve sikkerhetsrevisjoner, gi bindende pålegg eller i ekstreme tilfeller stanse virksomheten.

En setning fra Mazaher mot slutten av seminaret oppsummerte budskapet godt:

«Compliance begins and ends in the boardroom.»

Ikke som et skremsel, men som en påminnelse om at dette ikke handler om tekniske løsninger – det handler om styring.

Hvorfor ledere sliter med NIS2 i praksis

For mange ledere viser NIS2 seg å være både mer omfattende og mer krevende enn forventet. Mange ledere er også usikre på om virksomheten faktisk er omfattet av regelverket. Flere er usikre på om regelverket faktisk gjelder for deres virksomhet, mangler et tydelig startpunkt, og de færreste har erfaring med å håndtere et cyberangrep i en realistisk situasjon.

Derfor er kurset «Cybersikkerhet for ledere – NIS2 Compliance» utviklet av Gokstad Kompetanse, med utgangspunkt i styrerommet, ikke serverrommet. Kurset er utviklet for ledere uten teknisk bakgrunn og gir deltakerne oversikt, språk og konkrete verktøy de kan bruke direkte i egen virksomhet. Den mest verdifulle delen for mange er den realistiske øvelsen der de får håndtere et cyberangrep i sanntid – en situasjon som raskt viser hvor mye av NIS2 som handler om styring, kommunikasjon og beslutninger, og ikke om teknologi.

Mazaher understreker ofte at nettopp denne øvelsen gjør læringen så relevant: Når lederne må ta stilling til hva som skal meldes, hvem som skal involveres og hvordan man skal kommunisere gjennom en krise, blir det tydelig hvor viktig det er å være forberedt.

Et kurs for ledere som vil være godt forberedt

NIS2 er ikke bare et regelverk, men heller et praktisk rammeverk som hjelper virksomheter å få på plass tydelige roller, dokumentasjon, rutiner og beredskap.

Kurset vårt gir ledere:

– Trygghet i hva regelverket betyr
– Innsikt i hva styret konkret må gjøre
– Praktiske maler og verktøy til bruk i egen virksomhet
– Trening i realistiske scenarioer
– Kompetanse til å stille riktige spørsmål – og vurdere svarene

Til syvende og sist handler NIS2 om ledelse – ikke teknologi. De virksomhetene som stiller de riktige spørsmålene, tar gode beslutninger og faktisk trener på beredskap, er også de som kommer best ut når noe skjer. Det er akkurat derfor dette kurset finnes: for at ledere skal være forberedt, trygge og i stand til å ta styringen når det gjelder som mest.