Står Norge igjen på perrongen?

Mens EU-landene ruller ut EUs nye cybersikkerhetsdirektiv NIS2 for å styrke beskyttelsen av kritiske tjenester, har Norge ennå ikke bestemt når eller hvordan vi skal gjøre det samme. 

Den manglende fremdriften kan gi et inntrykk av at digital sikkerhet ikke har fått den nødvendige prioriteten på nasjonalt nivå. Dette er bare ett av flere eksempler på at tempoet i arbeidet med å styrke vår digitale motstandskraft er for lavt. Det bekymrer meg, for cybersikkerhet handler i ytterste konsekvens om nasjonal beredskap og vår evne til å holde samfunnet i gang når krisen rammer. Et sikkerhetsnivå på stedet hvil.

Ateas ferske sikkerhetsundersøkelse Bevissthet og beredskap 2025 viser at vi ikke beveger oss raskt nok: 

Thomas Tømmernes

Thomas Tømmernes er direktør for cybersikkerhet i Atea Group (Foto: Atea)

• 40 prosent av norske virksomheter bruker under 5 prosent av IT-budsjettet på sikkerhet, en andel som har stått stille i flere år 
• 32 prosent mangler beredskapsplan, og blant de som har en plan, er det mange som aldri øver på den 
• 38 prosent er ikke engang kjent med NIS2-direktivet, som skal sette rammene for bedre digital sikkerhet i hele EU og EØS

Tallene viser at altfor mange står uforberedt den dagen det smeller. Norge får dermed et fragmentert sikkerhetsnivå, der enkelte virksomheter bygger solide forsvar, mens andre blir stående helt uten beskyttelse. 

Små virksomheter er ekstra sårbare 

Små og mellomstore virksomheter har ofte begrensede ressurser og svakere sikkerhetskultur. Mange har ikke egne sikkerhetsfolk, og sikkerhet havner langt ned på prioriteringslisten. Samtidig utgjør de en stor del av verdikjeden til større aktører og offentlige tjenester. Nasjonal sikkerhetsmyndighet (NSM) har gjentatte ganger pekt på at underleverandører er en av de største risikoene i dagens trusselbilde. Når små virksomheter blir angrepet, kan konsekvensene forplante seg langt utover deres egen organisasjon.

Cybersikkerhet er nasjonal beredskap 

I ytterste konsekvens handler dette om samfunnssikkerhet. Når angrep rammer strømforsyning, helsetjenester eller kritiske kommunale funksjoner, står liv og helse på spill. Vi kan derfor ikke lengre vente. Norge trenger: 

• En tydelig plan for NIS2 implementering, slik at virksomheter vet hvilke krav som kommer og når 
• Et kraftig kompetanseløft, både gjennom utdanning og opptrening av ansatte 
• Mer fokus på beredskap og øvelse, slik at sikkerhet blir en naturlig del av hverdagen

Samarbeid må bygge på kommunikasjon 

Jeg har tro på samarbeid, spesielt gjennom bedre kommunikasjon. Nasjonal sikkerhetsmyndighet gjør en solid jobb, men når dessverre ikke alltid ut til alle virksomhetsledere som trenger tydelig informasjon om hvilke lover som gjelder for dem, og hvilke konkrete tiltak som må på plass. Den kommersielle IT-sikkerhetsbransjen kan være en nøkkel her. Bransjen bidrar allerede sterkt til å spre informasjon gjennom sine aktiviteter, men blir ofte oppfattet som for salgsorientert, noe som kan svekke opplevelsen av hvor kritiske tiltakene faktisk er.

Et felles løft for å nå alle virksomheter 

På mange måter kan man si at den kommersielle IT-sikkerhetsbransjen fungerer som myndighetenes markedsapparat. Vi trenger ikke se lenger enn til Storbritannia for å finne eksempler på at myndigheter og bransje står side om side, promoterer hverandre og tydeliggjør viktigheten av samarbeid, og anerkjenner behovet for alle de ekspertene som kan bringe budskapet helt ut til virksomhetene. 

Jeg tror AS Norge vil kunne oppleve et taktskifte dersom vi etablerer en felles kommunikasjonsstrategi der lover, reguleringer og behov for investering settes i system. Med over 600.000 virksomheter i landet er det urealistisk å tro at myndighetene alene kan nå ut til alle. For å lykkes må vi bruke de som allerede har kanaler, nettverk og kompetanse, og sette samarbeidet i system.