NIS2 - Hvordan jobbe med risikostyring

Daniel Andersson Daniel Andersson er senior informasjonssikkerhetskonsulent i Cegal Sverige. Daniel har omfattende erfaring innen informasjonssikkerhet og er en sertifisert informasjonssikkerhetsleder (CISM) samt en sertifisert cybersikkerhetspraktiker (CSX-P).

03/05/2025 |

NIS2 er tydelig på at arbeid med informasjonssikkerhet skal være risikobasert, men hva betyr det, og hvordan skal man definere og jobbe med risiko?

Vi ser alle ulikt på risiko. Det én person ser på som en risiko, kan en annen se på som en mulighet. For å forenkle kan man ta et eksempel på finansiell risiko. Å handle med aksjer innebærer alltid en risiko for å tape penger, samtidig som det er en mulighet for å tjene penger, så noen ser det som en risiko, mens andre ser det som en mulighet. Men i vår teknologiske verden kan det som i noen tilfeller anses som risiko, være en stor forretningsmulighet.

Hvordan defineres risiko?

Oxford English Dictionary definerer risiko godt i tekniske sammenhenger, og essensen av definisjonen er:

"(Eksponering for) muligheten for tap, skade eller andre ugunstige eller uønskede omstendigheter; en sjanse eller situasjon som innebærer en slik mulighet."

For NIS2 er den uønskede effekten at en samfunnskritisk funksjon ikke kan utføres med den kapasiteten som er nødvendig for å unngå negative konsekvenser for samfunnet.

Risiko trenger derfor to komponenter, en hendelse og en uønsket effekt. Disse to komponentene utgjør til sammen den vurderte risikoen.

ISO 31000 har et bredere syn på risiko, der en risiko kan ha både positive og negative effekter, noe som skiller seg fra andre risikorammeverk som kun tar for seg negative effekter.

Hvordan definerer vi sannsynlighet?

Sannsynligheten for en hendelse må estimeres. Dette gjøres basert på den informasjonen du har tilgjengelig. Delvis fra din egne erfaringer i virksomheten, men også fra offentlig informasjon om lignende hendelser.

Estimatet må gjøres på en numerisk skala for å kunne inngå i beregningen av risiko, og her er det viktig at den numeriske skalaen er godt definert i risikostyringspolicyen. Skalaens detaljeringsgrad må være håndterbar, for eksempel kan en skala på 1-3 være for snever, mens en skala på 1-50 kan føre til mer diskusjon om hvorvidt sannsynligheten er hver tredje måned eller hver fjerde måned, på bekostning av diskusjonen om hvordan man skal håndtere en risiko.

En skala fra 1-5 kan for eksempel være en stigende skala fra å inntreffe hvert tiende år til å inntreffe flere ganger i året. Der sistnevnte vil bety 5 i sannsynlighet.

Hvordan definerer vi konsekvens?

Effekten, eller som man ofte sier, konsekvensen, må også vurderes på en definert skala for å være en del av risikoberegningen. Igjen er dette en vurdering basert på tilgjengelig informasjon, både intern og ekstern. Normalt er skalaen ekvivalent med sannsynlighet.

Den direkte effekten er ofte relativt enkel å beregne, blant annet gjennom informasjon om tapt omsetning på grunn av driftsforstyrrelser og offentlig informasjon om kostnadene ved å reagere på løsepengevirus.

Den indirekte effekten kan være enda vanskeligere å beregne, der indirekte effekter inkluderer et svekket omdømme som kan føre til redusert salg, vanskeligere å beholde og rekruttere ansatte eller andre vanskeligere økonomiske effekter.

Når det gjelder NIS2, er det den direkte innvirkningen på leveringen av viktige tjenester som er det primære aspektet å ta hensyn til.

En skala fra 1-5 kan for eksempel representere en stigende skala fra et økonomisk tap på 7 000 dollar til 1,5 millioner dollar, der 1,5 millioner dollar vil bety betydelige problemer med å fortsette driften. For større selskaper kan skalaen variere fra tap på 100 000 dollar til 30 millioner dollar, eller enda høyere, avhengig av selskapets økonomiske situasjon.

For NIS2 er det nødvendig å vurdere om omfanget bør ta hensyn til disse aspektene. Den økonomiske skaden kan være begrenset for selskapet, men den samfunnsmessige skaden kan være større hvis kritiske tjenester ikke kan leveres.

Hvordan beregnes risikoen?

Basert på sannsynligheten og konsekvensen kan man beregne en risikoverdi, normalt definert som:

R = P x C

Det vil si at risikoen er produktet av faktorene sannsynlighet og konsekvens (impact). For et eksempel med en sannsynlighet på 5 og en konsekvens på 3 gir dette en risiko på 15.

Hvordan håndteres risiko?

En risiko kan håndteres på flere måter. Den kan enten aksepteres uten ytterligere tiltak, eller det kan iverksettes tiltak for å redusere enten sannsynligheten eller konsekvensen. Hvis vi tar eksemplet med løsepengevirus, er det mulig å redusere begge deler gjennom tekniske tiltak, dels ved å gjøre det vanskeligere for løsepengevirus å komme inn i virksomhetens IT-miljø, men også ved å gjøre det vanskeligere for løsepengevirus å spre seg internt i virksomheten hvis en enkelt enhet blir infisert.

Å fjerne en risiko helt innebærer som regel å stanse en aktivitet, noe som som regel fører til negative konsekvenser for virksomheten, men det kan være nødvendig hvis risikoen er større enn det som kan aksepteres, og tiltak for å redusere sannsynligheten og konsekvensen er for kostbare.

Hvem kan akseptere en risiko?

Det er mest hensiktsmessig at styret og ledelsen i en virksomhet fastsetter et akseptabelt risikonivå, og ut fra dette kan virksomheten deretter konsolidere alle risikoer og identifisere om den samlet sett overskrider det aksepterte risikonivået. Hvis det er tilfellet, må det håndteres enten gjennom tiltak eller ved at styret og ledelsen tar en beslutning om å endre det aksepterte risikonivået.

Det er imidlertid viktig å forstå at man ikke bør akseptere risiko blindt bare fordi man befinner seg under det aksepterte risikonivået. Det finnes mange tiltak som kan redusere både sannsynligheten og konsekvensene, og som er enkle å gjennomføre og derfor ikke bør unngås selv om man ligger under det akseptable risikonivået.

Hva mer kan man gjøre?

Det som er beskrevet i denne artikkelem, er en enkel modell for risikostyring som er egnet til å begynne med for å identifisere og jobbe med risiko. med dem. Det finnes mer avanserte metoder for å beregne risikokostnaden og knytte denne til avkastningen på sikkerhetsinvesteringer (RoSI). Dette er imidlertid ikke et krav i NIS2.

Cegal og risikostyring

Cegals informasjons- og cybersikkerhetskonsulenter har erfaring med å etablere styringssystemer for informasjonssikkerhet i samsvar med både NIS og andre regelverk. Dette inkluderer etablering av styringssystemer for risikostyring.

Våre konsulenter har også erfaring med å lede risikoworkshops for å identifisere og dokumentere de risikoene som finnes for virksomheten din, i samarbeid med virksomheten din.