Gjør bedriften klar for kommende regelverk om cybersikkerhet og personvern for 2026

Canons undersøkelser viste at IT-ledere konsekvent har oppgitt informasjonssikkerheten som et av de tre mest utfordrende og tidkrevende ansvarsområdene de siste fem årene.

Informasjonssikkerheten (33 %) ble faktisk vurdert som den største utfordringen tett fulgt av etterlevelse av regelverk (25 %). Derfor er informasjonssikkerheten fortsatt av stort betydning, ettersom både de juridiske forpliktelsene og den teknologiske kompleksiteten fortsetter å øke.

Regelverket utvides stadig, og både EU og nasjonale myndigheter styrker og utvider sikkerhetsdirektivenes omfang for å styrke informasjonssikkerheten. Dette har ført til at flere bransjer havner inn under regelverket, i tillegg til en styrking av rapporteringen og sikkerhetstiltakene etter hvert som nye tiltak trer i kraft.

Denne «regelrevolusjonen» kommer til å fortsette, noe som gjør at du må se og planlegge langt frem i tillegg til å ta tak i spennende utfordringer. Noen krever umiddelbar oppmerksomhet, for eksempel DORA, som trådte i kraft tidlig i 2025, og som krever testing og overvåking av robustheten – noe som påvirker både bedrifter og kunder. Mens andre, for eksempel sørger for at etterlevelse vil være høyt prioritert i mange år fremover.

NIS2 (Direktivet om nettverks- og informasjonssikkerhet 2) er også en viktig del av omstillingen. NIS2 er laget for å styrke nettrobustheten i hele EU og utvider omfanget av forgjengeren (NIS/Digitalsikkerhetsloven) ved å innføre strengere forpliktelser innen risikostyring og hendelsesrapportering samt forbedret tilsyn med regelverket.

For å møte dagens utfordringer og tilpasse seg morgendagens landskap for informasjonssikkerhet, som er i stadig utvikling, er det viktig å samarbeide med en partner som har ekspertisen og løsningene som trengs for å sikre fremtidsrettet drift. Bedriften kan forberede seg på nye og fremtidige regler og unngå potensielt kostbar endring av driften når gjennomføringsfristen nærmer seg, ved å ta følgende hensyn og ha en proaktiv tilnærming til informasjonssikkerhet.

Bedriftene må ha en klar forståelse av lovene som gjelder for virksomheten, bransjen og regionen deres, og dette kan oppnås ved å rådføre seg med relevante juridiske team eller eksperter på området. Ved å gjøre dette vil organisasjonen få en bedre forståelse av betydningen for og den større innvirkningen på virksomheten deres.

Det er også viktig å innføre en prosess for kontinuerlig overvåking av kommende trender innen lovverk og regelverk. Dette kan administreres gjennom et dedikert internt team eller settes ut til en ekspertleverandør, slik at organisasjonen kan forutse fremtidige behov og tilpasse seg proaktivt.

For å kunne navigere i det stadig skiftende juridiske landskapet kan det også være at sikkerhetsteamene må utvides – enten ved å ansette flere eller lære opp medarbeidere til å spesialisere seg på sikkerhetssamsvar, tolking av regelverk og implementering av sikkerhetskontroller. Dette kan ha innvirkning på ressurser, bemanning og budsjetter – avhengig av tilpasningsnivået som kreves.

IT-teamene må også tilpasse seg og etablere klare prosesser for rapportering, oppdatering, hendelsesrespons og varsler om sårbarheter knyttet til datasikkerhet, slik NIS2 krever. Disse prosessene er viktige og bør dokumenteres og gjennomgås regelmessig for å sikre etterlevelse. Der det er nødvendig, kan det hende at organisasjonen også må investere i ekstra programvare og bredere teknologi som støtter disse prosessene.

Leverandørene er kanskje utenfor organisasjonen, men prosessene og rapporteringssamsvaret deres kan fortsatt ha en direkte innvirkning på organisasjonen. Det er viktig at dere samhandler med leverandørene, forstår sikkerhetspraksisen deres og foretar revisjoner som bidrar til å sikre at de samsvarer med deres egne standarder for etterlevelse.

Ettersom visse sikkerhetshendelser kan ha en betydelig innvirkning på bedriften, er det viktig at de ansatte informerer om risikoer de oppdager, og at det utvikles en kultur for åpen rapportering. Ved å oppmuntre til intern rapportering kan organisasjonen lære av feil og implementere nye prosesser uten å frykte negative konsekvenser.

Nye og kommende regelverk er positivt for forbrukerne og sikkerhetsbransjen som helhet og vil til syvende og sist vil føre til et sikrere og mer åpent digitalt landskap for bedriftene. Selv om det kan innebære en kortsiktig kostnad, vil de langsiktige fordelene ved å tilpasse seg og ha en proaktiv tilnærming til lover og regler langt oppveie utfordringene.