„Það sem skiptir máli er að bregðast við áður en það er orðið of seint“

Viðtal við Benedikt Rúnarsson, öryggisstjóra Wise, um áhrif NIS2 og DORA á íslensk fyrirtæki

Nýjar evrópskar reglur um netöryggi og rekstraröryggi NIS2 og DORA munu hafa áhrif á fjölda fyrirtækja og stofnana á Íslandi. En hvað fela þessar reglugerðir í sér, og hver ætti að hafa áhyggjur? Við settumst niður með Benedikt Rúnarssyni, öryggisstjóra (CISO) hjá Wise, til að fá svör við helstu spurningum.

Hvað eru NIS2 og DORA og hvers vegna skiptir þetta máli fyrir íslensk fyrirtæki?

NIS2 og DORA eru tvær lykilreglugerðir frá Evrópusambandinu sem miða að því að styrkja netöryggi og rekstraröryggi fyrirtækja. NIS2 á við um breiðan hóp fyrirtækja í lykilinnviðum, allt frá samgöngum og heilbrigðiskerfi yfir í stafræna innviði. DORA beinist hins vegar sérstaklega að fjármálageiranum. Þótt reglurnar hafi ekki enn verið formlega innleiddar á Íslandi, þurfa fyrirtæki sem starfa með evrópskum viðskiptavinum nú þegar að fylgja þeim.

Hverjir þurfa helst að huga að þessum reglum núna?

 Fyrirtæki sem falla beint undir NIS2 eða DORA og þau sem veita slíkum aðilum þjónustu t.d. hýsingar- eða skýjaþjónustu, hugbúnaðarþróun, eða önnur IT-þjónusta. Þetta nær til mun fleiri fyrirtækja en fólk gerir sér oft grein fyrir. Margir íslenskir þjónustuaðilar verða hluti af aðfangakeðju sem þarf að vera í lagi, og þar með skylt að sýna fram á ákveðinn öryggisstaðal.

Hverjar eru helstu skyldur fyrirtækja samkvæmt þessum reglum?

 Þær snúast fyrst og fremst um ábyrgð, gagnsæi og viðbúnað. Fyrirtæki þurfa að geta sýnt fram á að þau hafi innleitt viðeigandi öryggisráðstafanir og framkvæmt áhættumat. Þau þurfa að vita hvernig á að bregðast við netöryggisatvikum og hafa skýra ferla til að tilkynna alvarleg atvik tímanlega til yfirvalda. Þá skiptir einnig máli að stjórnendur séu virkir þátttakendur, hafi þekkingu og ábyrgð á öryggismálum. Fyrir þau fyrirtæki sem falla undir DORA bætist við krafa um áhættumat á þjónustu þriðja aðila og reglulegar prófanir á öryggi og rekstrargetu upplýsinga- og samskiptakerfa.

Hvað eru helstu hættumerkin sem þú sérð þegar fyrirtæki taka ekki þessi mál alvarlega?

 Ég sé alltof oft að fyrirtæki treysta því að „það komi ekki fyrir okkur“. En staðreyndin er sú að netárásir verða sífellt markvissari og áhrifameiri. Án viðbragðsáætlunar, skýrrar ábyrgðarkeðju og virks öryggisvöktunar getur eitt atvik lamað rekstur, skaðað orðspor og leitt til sektar eða lagalegra afleiðinga. Það sem skiptir máli er að bregðast við áður en það er orðið of seint.

Hvernig geta fyrirtæki byrjað að undirbúa sig?

Fyrsta skrefið er að greina stöðuna, eins og t.d. fellur fyrirtækið undir reglurnar, beint eða óbeint? Síðan þarf að kortleggja áhættu, eins og að skoða núverandi öryggisstefnu og innleiða ferla og viðbragðsáætlanir þar sem þörf er á. Það þarf líka að tryggja þátttöku stjórnenda, þetta er nefnilega ekki bara mál fyrir tæknifólk.

Hvaða ráð myndir þú gefa fyrirtæki sem er ekki viss um hvort það þurfi að bregðast við?

Ekki bíða. Ef þú veist ekki hvort þú fallir undir NIS2 eða DORA, er best að fá hlutlaust mat. Þú vilt ekki vera í þeirri stöðu að þurfa að útskýra eftirá hvers vegna ekkert var gert. Samræmi við reglur er ekki bara lagaleg krafa, heldur eykur það traust fyrir viðskiptavini og samstarfsaðila.

Hvert er hlutverk Wise í þessu samhengi?

Hlutverk okkar er að tryggja að viðskiptavinir okkar séu vel varðir, bæði tæknilega og lagalega. Við hjálpum við að greina stöðuna, hanna öryggisferla og tryggja að net- og upplýsingakerfi standist nýjustu kröfur. Hvort sem þú ert fjármálafyrirtæki eða þjónustuaðili sem vinnur með slíka aðila, þá erum við til staðar til að styðja þig í gegnum þetta ferli.