Dato: 06.12.2024 Svartype: Med merknad Hei, Nedenfor finner du Atea Norge sitt svar på høringen. Vennlig hilsen, Thomas Tømmernes, IT-sikkerhetssjef i Atea Norge. Atea sine innspill til høring om forslag til forskrift til digitalisikkerhetsloven Innledning Atea setter stor pris på muligheten til å gi innspill til høringen om forslag til forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften). Vi er en erfaren totalleverandør av IT-sikkerhet i Norge. Vi har sikkerhetstjenester som dekker alle behov, alle bransjer, og har over 300 sertifiserte konsulenter. Vi er også spesialister på hendelseshåndtering, godkjent av Nasjonal Sikkerhetsmyndighet (NSM) og har dyp innsikt i gjeldende trusselbilde. Som en IT-leverandør med omfattende erfaring innen sikkerhetsteknologi og rådgivning, ønsker vi å bidra til at forskriften er praktisk gjennomførbar og fremmer samarbeid på tvers av sektorer. Atea støtter forslaget til forskrift til digitalsikkerhetsloven som et viktig steg mot å styrke digital sikkerhet i norske virksomheter. Vi anerkjenner behovet for klare krav og regelverk som fremmer robusthet og motstandsdyktighet i samfunnskritiske tjenester. Vi kommenterer i dette innspillet de meste relevante forslagene for oss. Om Atea Atea er et IT-selskap som består av mer enn 8000 medarbeidere. Vi har kontorer i 88 byer i Norge, Sverige, Danmark, Finland, Litauen, Latvia og Estland. Alle de 6 andre landene i Atea gruppen er medlemmer av EU, vi jobber derfor allerede i tråd med NIS2 i alle landene, noe som posisjonerer oss godt i henhold til våre norske kunder med leveranser til EU landene. I Norge er vi rundt 1800 medarbeidere fordelt på 23 kontorer fra Hammerfest i nord til Kristiansand i sør. Styrking av krav til sikkerhetsstyringssystemer Atea støtter kravet om at virksomheter som leverer samfunnsviktige tjenester skal etablere et styringssystem for digital sikkerhet. Dette reflekterer beste praksis i bransjen, som vi som IT-leverandør har lang erfaring med å implementere. Et styringssystem for digital sikkerhet fremmer kontinuerlig forbedring og gjør det mulig for virksomheter å identifisere og håndtere risikoer på en strukturert og dokumentert måte. Tydeliggjøring av krav til risikovurderinger Atea støtter kravet om dokumenterte risikovurderinger som et grunnleggende tiltak, for å sikre at sikkerhetstiltak er proporsjonale og effektive. Atea anser risikovurdering som en av de viktigste aktivitetene for å sikre virksomhetenes digitale motstandsdyktighet. Å kartlegge risiko er avgjørende for å forstå hvor virksomheten er mest sårbar, hvilke hendelser som kan inntreffe, og hvilke konsekvenser disse kan få for tjenesteleveransen. Forskning og erfaring viser at en godt gjennomført risikovurdering legger grunnlaget for målrettede og effektive sikkerhetstiltak. Risikovurderinger gir virksomheten innsikt i trusler og sårbarheter og muliggjør bedre prioritering av sikkerhetstiltak. Varslingskrav og håndtering av hendelser Vi støtter forslaget om en varslingsplikt innen 24 timer etter at en alvorlig hendelse oppdages. Dette er en viktig del av et sikkerhetsregime. For å effektivisere varslingen foreslår vi at forskriften fremhever betydningen av systemer for overvåking, deteksjon og varsling av hendelser. Atea leverer allerede slike løsninger som kan integreres i virksomheters drift, noe som reduserer tidsbruken og øker kvaliteten på rapporteringen. Støtte til små og mellomstore virksomheter (SMB) og oppfølgingsplikt Vi støtter unntakene for små virksomheter, men påpeker at mange SMB-er er underleverandører til samfunnskritiske tjenester og dermed er viktige for den totale sikkerheten. Disse virksomhetene er ofte spesielt utsatt for digitale trusler på grunn av begrensede ressurser. I trusselrapportene fra Nasjonal sikkerhetsmyndighet peker de på at underleverandørene er den største trusselen for cybersikkerheten. Derfor støtter vi innføringen av en oppfølgingsplikt som en sentral del av forskriften, da dette sikrer at sikkerhetstiltak ikke bare implementeres, men også at relevante underleverandører følges opp. For å lette etterlevelsen, særlig for mindre virksomheter, anbefaler vi at det utvikles tydelige retningslinjer og verktøy for hvordan oppfølgingsplikten kan oppfylles i praksis. Atea ser dette som en viktig mekanisme for å opprettholde og styrke den digitale motstandsdyktigheten over tid. For å styrke SMB-ers sikkerhet, som ofte er underleverandører til tilbydere som omtales i forskriften, foreslår vi at myndighetene vurderer å etablere en frivillig støtteordning eller insentivprogrammer. Dette kan inkludere subsidierte opplæringsprogrammer, tilgang til sikkerhetsverktøy eller finansieringsmuligheter for å implementere grunnleggende sikkerhetsløsninger. Atea tilbyr allerede sikkerhetstjenester tilpasset SMB-markedet og kan være en viktig dialogpartner i slike initiativ. Rollefordeling og koordinering Atea støtter at Nasjonal sikkerhetsmyndighet (NSM) får en koordinerende rolle for sikkerhetsarbeidet. Dette er nødvendig for å sikre nasjonal sammenheng og helhet i tilsyn og oppfølging. Samtidig mener vi at et sterkt samarbeid mellom offentlige og private aktører er avgjørende for å møte truslene. Vi anbefaler at NSM og sektor CERT’ene inkluderer bransjeledende private aktører som Atea i utformingen av veiledningsmateriell og sikkerhetstiltak. Ved å trekke på den praktiske erfaringen fra IT-leverandører kan tiltakene tilpasses enda bedre til reelle utfordringer 7. Langsiktige implikasjoner av NIS2-direktivet Atea er positiv til Norges tilnærming til NIS2-direktivet og ser det som et naturlig neste steg for å styrke digital motstandsdyktighet. Samtidig er vi opptatt av at implementeringen skjer på en måte som gjør at vi ikke blir hengende etter EU. Dagens situasjon stiller norske virksomheter med kunder i EU overfor krevende utfordringer når det gjelder cybersikkerhet. EU har allerede innført NIS2-direktivet, som stiller strenge krav til sikkerhet i nettverk og informasjonssystemer. Norske virksomheter må allerede nå kunne dokumentere at de oppfyller disse kravene for å konkurrere i det europeiske markedet. Manglende etterlevelse kan føre til tap av viktige kontrakter og markedsposisjoner, noe som kan få alvorlige konsekvenser for bedrifters langsiktige konkurranseevne og overlevelse. Det er bekymringsfullt at Norge ligger etter EU på dette området. Uten en rask implementering av direktivet risikerer norsk næringsliv å bli satt i en situasjon der de må gjennomføre et hastearbeid for å tilpasse seg internasjonale krav. 8. Avslutning Atea ser på digitalsikkerhetsforskriften som et solid grunnlag for å møte dagens og fremtidens trusler. Gjennom vår rolle som ledende IT-leverandør ønsker vi å samarbeide med myndigheter og virksomheter for å styrke Norges digitale sikkerhet. Vi ser frem til å bidra med både teknologiske løsninger og kompetanse på en måte som skaper verdi og trygghet for hele samfunnet. #SammenSikrerViNorge Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
