Regulativ utvikling skaper motstandskraft
Økt grad av digitale trusler og potensielle konsekvenser av angrep, har skapt et behov for regulering og samordning av cybersikkerhet på tvers av landegrenser i Europa.
Ved utgangen av 2022 vedtok derfor EU en forordning for finanssektoren Digital Operational Resilience Act (DORA). Tilsvarende direktiv treffer sektorer som anses som kritisk for både økonomien og samfunnet, Network and Information Security Directive (NIS2). Begge direktivene er tiltak for å imøtekomme behovet for et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer. For første gang har Cybercrime Survey utforsket respondentenes kjennskap til DORA og NIS2.
I mai la Regjeringen frem forslag om ny lov om digital sikkerhet (digitalsikkerhetsloven), som forplikter virksomheter med en kritisk rolle for økonomien og samfunnet til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser.
Digital Operational Resilience Act (DORA)
Digital Operational Resilience Act (DORA) har som mål å styrke finanssektorens motstandskraft og beredskapsevne mot cyber-relaterte hendelser. Forordningen skal håndheves fra januar 2025 og vil ha bred anvendelse innenfor finansindustrien. DORA innfører strenge krav og retningslinjer for å sikre at finansinstitusjoner og kritiske tredjeparts IKT-leverandører kan håndtere digitale trusler, opprettholde kritiske funksjoner og minimere forstyrrelser for kunder og det økonomiske systemet.
Undersøkelsen viser at finanssektoren er godt kjent med DORA. Blant respondentene kjenner 8 av 10 til DORA, hvorav nesten halvparten svarte at de er fullstendig kjent med forordningen og kravene. 9 av 10 er enten i gang, eller har planlagt å implementere kravene i DORA.
Er din virksomhet kjent med EUs DORA forordning og deres krav til beskyttelse mot cyberangrep og kritisk infrastruktur?
Ja, vi er fullt ut kjent med direktivet og kravene
Vi har hørt om direktivet og kjenner til noen av kravene, men ikke alle
Vi har hørt om direktivet, men kjenner ikke til alle kravene
Nei, vi har aldri hørt om direktivet
Undersøkelsen viser at implementering av “en effektiv risikostyringsprosess” og “manglende overblikk over tredjeparter og risikovurderinger” oppleves som utfordrende for å oppfylle DORA-kravene. Faktoren “manglende overblikk over tredjeparter" bør ses i sammenheng med de målrettede cyberangrepene mot tredjeparter (underleverandører) (60 %).
Hvilke av følgende ser du som barrierer for at din virksomhet kan leve opp til kravene i DORA?
Utfordringer med å implementere en effektiv risikostyringsprosess
Manglende overblikk over tredjeparter og underleverandører, herunder manglende risikovurderinger
Manglende teknologisk modenhet og foreldet infrastruktur
Network and Information Security Directive (NIS2)
Network and Information Security Directive 2 (NIS2) stiller krav til overordnet risikostyring og sikkerhetstiltak, inkludert hendelseshåndtering, forretningskontinuitet, leverandørstyring, kryptering og bruk av multifaktorautentisering. Videre er det krav om varsling og rapportering, hvor første varsling om betydelige hendelser må skje innen 24 timer, etterfulgt av en mer omfattende rapport innen en måned etter varslingen. Kravene i direktivet vil i noen grad variere avhengig av virksomhetens størrelse og betydning.
Blant respondentene fra statlig, kommunal og privat sektor er det god kjennskap til NIS2-direktivet, men mange er usikre på om deres virksomhet omfattes av direktivet. 9 av 10 kjenner til NIS2-direktivet, hvorav 3 av 4 har svart at de er fullt eller delvis kjent med kravene som stilles.
Er din virksomhet kjent med EUs NIS2-direktiv og deres krav til beskyttelse mot cyberangrep og av kritisk infrastruktur?
Ja, vi er fullt ut kjent med direktivet og kravene
Vi har hørt om direktivet og kjenner til noen av kravene, men ikke alle
Vi har hørt om direktivet, men kjenner ikke til kravene
Nei, vi har ikke hørt om direktivet
92 %
er kjent med NIS2-direktivet
Kun 8 % har aldri hørt om direktivet, og av de som er omfattet er 30 % i gang med implementering eller har allerede implementert kravene. 1 av 3 (33 %) har planlagt å implementere kravene, men ikke begynt.
Er din virksomhet omfattet av NIS2?
Ja
Nei
Vet ikke
På spørsmål om hva respondentene anser som barrierer for virksomheten sin evne til å leve opp til NIS2 svarer 23 % “manglende teknologisk modenhet og foreldet infrastruktur”, og 22 % “utfordringer med å kunne sikre forsyningskjedens sikkerhet”. I likhet med barrieren "manglende overblikk over tredjeparter" for de som dekkes av DORA, bør utfordringen virksomhetene har med å sikre forsyningskjeden ovenfor NIS2 sees i sammenheng med trusselen for målrettede angrep mot tredjeparter. Dette illustrerer viktigheten av å prioritere sikring av tredjeparter.
Hvilke av følgende ser du som barrierer for at din virksomhet kan leve opp til kravene i NIS2?
Utfordringer med å implementere en effektiv risikostyringsprosess
Manglende ledelsesmessig forståelse
Manglende teknologisk modenhet og foreldet infrastruktur
Utfordringer med å overvåke og rapportere om sikkerhetsbrudd og hendelser
Utfordringer med å kunne sikre forsyningskjedens sikkerhet
Manglende kunnskap om nye og komplekse cybertrusler- og angrep
Ingen av de ovenstående
Lovforslaget innebærer muligheten for at sanksjoner kan utgjøre inntil 2 % av årlig omsetning eller €10,000,000, avhengig av hva som utgjør størst sum. Dette understreker viktigheten av å forstå og etterleve kravene i NIS2-direktivet for å sikre motstandsdyktig cybersikkerhet og beskyttelse av virksomhetenes verdier og data.
Fellestrekk
Manglende teknologisk modenhet og foreldet infrastruktur oppleves som en sentral barriere for implementering av både DORA og NIS2. For å tilfredsstille kravene, er det av stor betydning at norske virksomheter forbereder seg og har kontroll på sine informasjonssikkerhetstiltak. De fleste virksomheter har implementert flere isolerte sikkerhetstiltak, men ofte mangler det en systematisk tilnærming for å oppnå den helhetlige cybersikkerheten som kreves.
© 2015 - 2023 PwC. PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.