Verden har endret seg de siste årene, med større risiko og flere trusler. Nye EU-regler om digital sikkerhet vil derfor også gjelde avfallsbransjen. Det blir fort dyrt å overse dette arbeidet.
Av Ove A. Vanebo, advokat og assosiert partner i CMS Kluge Advokatfirma
I kjølvannet av Ukraina-krigen har trusselen fra russiske hackere vokst. Tidligere har Norge forholdt seg til ulike former for trusler og spionasje fra blant annet fra Kina og Iran. Også mer «privatpraktiserende», norske cyberkriminelle er mer aktive enn før.
Det er ikke bare kjerneoppgaver i staten som rammes. Mange har fått med seg angrepet på Østre Toten kommune, der et løsepengevirus låste 240 ulike datasystemer i kommunen. Det er naivt å tro at avfallsbransjen går fri for slike trusler. Nettopp av den grunn har EU utformet de to NIS-direktivene. «NIS» er en forkortelse for «nettverks- og informasjonssystemer», og det er nettopp slike som skal beskyttes.
Norge er i ferd med å gjøre det første NIS-direktivet til norsk lov, i digitalsikkerhetsloven. Med den nye loven vil det introduseres to nye hovedforpliktelser: For det første vil det bli en plikt til å iverksette egnede tiltak som skal sørge for et sikkerhetsnivå som er tilpasset risikobildet. For det annet blir det en plikt til å varsle relevant myndighet om hendelser som virker betydelig inn på tjenesteleveransen.
Vil gjelde avfallsbransjen
Norge er på etterskudd her: Allerede er EU-statene i ferd med å gjøre NIS2-direktivet – etterfølgeren til det første NIS-direktivet – til ny lov. Med NIS2 utvides ansvaret, og det er ventet at direktivet snarlig også blir norsk lov. Det første NIS-direktivet gjaldt imidlertid ikke for avfallsbransjen, men i NIS2 er avfallsbransjen omfattet i kategorien av såkalte viktigesamfunnstjenester, som får nye plikter.
Hva er det så avfallsbransjen må forholde seg til med NIS2? Helt sentralt er det å følge minimumskravene til sikkerhet for å beskytte og opprettholde tjenesteleveransen.
Nødløsninger for å ivareta drift
Det må lages strategier for risikoanalyse og informasjonssikkerhet i datasystemer. Målet er å sikre at tjenester og virksomhet kan virke også under angrep. Av den grunn må også ulike former for nødløsninger vurderes.
Det holder ikke at det lages fine planer og dokumenter, som legges i et arkiv: Også strategier og prosedyrer for å vurdere effektiviteten til tiltakene for cybersikkerhet må på plass. Mer spesifikke tiltak – som kryptering og flerfaktorautentisering – må følges opp i praksis.
Et sted det virkelig strammes inn, er kompetansebygging og opplæring blant ansatte. Ansatte må få opplæring i cybersikkerhet. De ansatte må også kontrolleres gjennom egnet personellsikkerhet, dvs. tiltak for å hindre at ansatte kan utgjøre en sikkerhetsrisiko.
Krav til styret
Ikke bare ansatte, men også styret må få mer kompetanse. Medlemmene av ledelsesorganene til virksomhetene i avfallssektoren er pålagt å følge opplæring, slik at de får tilstrekkelig kunnskap og ferdigheter som gjør dem i stand til å identifisere risiko og vurdere styringspraksis. Styremedlemmene må forstå risikoens innvirkning på tjenestene som leveres av virksomheten.
Styremedlemmer må også forholde seg til at det blir mer «hands on»-oppfølging. Styret skal godkjenne tiltakene for å håndtere risiko, og må dessuten føre tilsyn med implementeringen av tiltakene. Styret kan holdes ansvarlig for brudd på reglene.
Krav til underleverandører
Et utbredt problem i håndteringen av cybersikkerhet, er at det ofte mangler tilstrekkelig kontroll på underleverandørene. Et konkret krav er derfor å sikre bedre vern av informasjon og tjenester i forsyningskjeden. Dette kan gjøres på mange måter, blant annet avtaleregulering og revisjoner/vurderinger av underleverandørenes systemer. Som en egen plikt, som henger sammen med kontroll på underleverandører, vil det bli strengere føringer for å ivareta sikkerhet når selskaper kjøper ulike nettverk og systemer. Både under anskaffelse, utvikling og vedlikehold av nettverks- og informasjonssystemer må cybersikkerhet tas hensyn til.
Strenge frister for varsling
Hendelseshåndtering får strengere og mer detaljerte regler enn i det første NIS-direktivet. Med NIS2 blir det klare frister. Varsling til relevante myndigheter må skje innen 24 timer etter å ha oppdaget en større negativ hendelse. Fullstendig redegjørelse må gis innen 72 timer etter oppdagelse, med en grundig rapport med alle detaljer om hendelsen. Rapporten skal hjelpe myndighetene med å bestemme omfanget av hendelsen, oppdage svake punkter og tilby støtte.
Hva bør gjøres?
Hva bør du så gjøre for å følge opp de nye reglene i praksis?
For det første ville jeg startet med å få avklart om virksomheten er underlagt de nye reglene. Hva som er «avfallshåndtering» er definert i avfallsrammedirektivet: Innsamling, transport, gjenvinning og sluttbehandling av avfall, herunder tilsyn med slik virksomhet og etterbehandling av fyllplasser, samt tiltak som forhandler eller megler treffer.
Dernest bør du kartlegge hvilke systemer, underleverandører og tjenester som er relevante. Det er systemene som knytter seg til tjenesteleveransen som må sikres.
Når du har fått kontroll på hva du skal beskytte, kan det være hensiktsmessig å sette opp kravene i NIS2 i et skjema – for så å kontrollere om de er ivaretatt i dag. Husk at det er risiko som skal håndteres, og av den grunn bør du også lage en risikovurdering for å avklare om tiltakene som allerede brukes kan håndtere ulike sårbarheter og trusler tilfredsstillende.
For det fjerde bør det utformes relevante rutiner, i samsvar med de detaljerte kravene i NIS2. Som et femte punkt kan du lage et opplegg for opplæring og trening både for ansatte og styret.
Kontroll og revisjon
Med jevne mellomrom bør det gjennomføres kontroll og revisjoner av systemet for sikkerhet. Det kan gjøres ved hjelp av stikkprøver, spørreundersøkelser, ulike former for testing for å se om systemet motstår angrep, og oppsummering av funn med oppfølgingspunkter.
Sluntres det unna og loven brytes, blir det dyrt å trå feil: Avhengig av hva som er høyest, kan myndighetene ilegge gebyr på opptil 7 millioner euro eller 1,4 % av global omsetning i foregående regnskapsår. Er du ekstra uheldig, kan hendelser medføre gebyrer i henhold til GDPR i tillegg til disse.
Som de svenske myndighetenes utredning om NIS2 påpeker, er avfallssektoren såpass spesiell at det behøves særlig kompetanse for å gjøre tilsyn og følge opp cybersikkerhet. Det betyr at det blir prøving og feiling i begynnelsen – og at arbeidet allerede nå bør starte opp.
