Kommune-Norge trenger nasjonale prøver i IT-sikkerhet

De nye datasikkerhetsreglene fra EU, også kalt NIS2, blir gjeldende fra allerede fra oktober i år. Det er med andre ord bare tiden og veien. Dette er langsiktig arbeid, men alvorsforståelsen må komme i dag.

Én av farene med NIS2 er at det er svært åpent. For hva vil det egentlig si å ha «et oppdatert risikobilde»? At det var oppdatert i dag, betyr ikke at det er det i morgen.

Ordet kompetanse er også ullent, for hvilken kompetanse er det vi snakker om? Gjelder det kompetanse innen nettverk, beredskap, sikkerhetsvurdering eller databehandling? Feltet er enormt.

For å komme i mål trenger kommunene «nasjonale prøver» på hvordan de ligger an i IT-kunnskaper, eller benchmarking, som vi kaller det i bransjen.

Et tydelig veiskille som kommer, er at lederne ikke lenger har lov til å delegere ansvaret for IT-sikkerheten, slik en gjerne har gjort før. Med andre ord må det bygges kompetanse på ledernivå, samtidig som den som har ansvaret for IKT, bør inngå i styret.

Her er hvor jeg selv ville startet arbeidet, om jeg var i denne posisjonen:

• Samarbeid er et av de viktigste stikkordene her. Vi vil ha behov for å bygge opp små kompetansesentre over hele landet som kan bistå flere kommuner med den kompetansen og oppfølgningen de trenger. Det er ikke noe poeng at hver kommune sitter med hver sin sikkerhetsekspert. Det har vi heller ikke nok eksperter til å gjøre.

• Økt kompetanse på alle nivåer, også for dagens IKT-ansatte. Samtlige trenger et kompetanseløft. Det inkluderer også de som jobber med IT i dag. De må få økt kompetanse på hva som skjer i en kommune, på «gulvet», for å forstå hele situasjons- og risikobilde. Vi trenger internopplæring, kompetansesentre og gode partnere som kan levere det som trengs. Et godt nettverk og ansatte med digitaliseringserfaring vil være essensielt.

• Ekstern hjelp må brukes riktig. Norge ligger dessverre langt bak land vi liker å sammenligne oss med, og dagens kompetansegap er stort. Ekstern hjelp vil være nødvendig for å dekke opp, men det må gjøres på riktige premisser. Det må bygge opp det som allerede finnes, fylle på med det som mangler og bidra til å bygge sikkerhetskultur og kunnskap i kommunen. En bør også være helt sikker på at behovene er godt nok kartlagt og prosessert før en går i gang med anskaffelsesprosessen.

• Ikke prøv å tolk NIS2 selv – søk hjelp. Regelverket er både komplisert og svært åpent. Faren for å bomme på tolkningen er stor. Her håper vi at nasjonale myndigheter kommer med tydelig retningslinjer, og du bør absolutt finne hjelp til å forstå hva regelverket betyr for din kommune.

• En sterk sikkerhetskultur. Det du trenger er å bygge en sikkerhetskultur hvor det ligger i ryggmargen på lik linje med HMS og bærekraft i dag. Dette tar tid, men det er ingen grunn til ikke å starte i dag.

IT-sikkerhet koster penger. Likevel er det mye dyrere å la være. Løsepengevirus er én ting, men bøtene du kan få, er ofte så høye at du ikke har råd til å rette opp feilen. Føre var er alltid rimeligere enn prisen for dårlig sikkerhet.