Assosiert partner Ove Vanebo er ganske sikker på at flere advokater vil spesialisere seg på cybersikkerhet.

EU med tsunami av cybersikkerhetskrav til virksomheter og styrer 

- Kravene kan ikke settes ut til IT-avdelingen eller HR, men må vurderes av advokater, sier teknologiadvokat Ove Vanebo i CMS Kluge.

Publisert Sist oppdatert

- Tidligere har det vært slik at advokater som har jobbet med IT, i hovedsak har konsentrert seg om IKT-kontrakter eller personvern. Nå er trusselbildet vesentlig endret, og cybersikkerhet er blitt et up and coming-område innen jussen, sier Ove Vanebo.

Han er assosiert partner i CMS Kluge, og var nylig på Arendalsuka der han innledet om datainnbrudd og digital sikkerhet.

Digitalsikkerhetsloven

§ 1.  Loven skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Loven skal også legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser.

Kilde: Lovdata

- Jeg arbeidet nettopp med å oppdatere en risikovurdering for et kollektivselskap. Bare siden den forrige ble gjort for ett år siden, har veldig mye endret seg, sier han.

Nye regelverk er på vei inn, og disse stiller nye krav til virksomhetene.  Også selskapenes styrer vil bli ansvarliggjort i mye større grad, forteller Vanebo.

Mange vil få nye krav

- Digitalsikkerhetsloven trer antageligvis i kraft i år, og NIS-direktivet blir norsk lov. Da vil en rekke aktører få nye krav, ikke bare til å beskytte personopplysninger, men til at tjenestene skal fungere under angrep, sier Ove Vanebo.

NIS-direktivet inneholder ulike tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele unionen. Det er førsteutgaven av direktivet som snart blir norsk lov, men NIS-2 er allerede vedtatt i EU.

Nytt cybersikkerhetsdirektiv (NIS-2)

NIS2 stiller krav til virksomhetenes risikovurderinger og sikkerhetstiltak, og at «virksomheter som leverer «vesentlige» tjenester skal flagge cybersikkerhetshendelser til myndighetene innen 24 timer. Brudd på dette kan gi bøter på opptil to prosent av omsetningen.»

Virksomhetene må identifisere og klassifisere sårbarheter og trusler som kan påvirke driften, og etablere sikkerhetstiltak, utvikle beredskapsplaner og lære opp ansatte i cybersikkerhet.

Kilde: Stortinget // Kiwa

- Når NIS-2 blir norsk lov, vil enda flere aktører bli omfattet, sier Vanebo. 

Sektorer som leverer tjenester innen bank- og finansmarkedet, energi, transport, helse, drikkevann, avløpsvann, og digital infrastruktur er blant dem som vil omfattes av den nye loven.

Det er litt uklart hvilke terskler som vil settes for å være regulert av loven, men det er trolig virksomheter med mer enn femti ansatte, eller mindre virksomheter med  kritisk betydning for samfunnet, som vil omfattes, ifølge Kiwa, et verdensomspennende selskap innenfor testing, inspeksjon og sertifisering.

Obligatorisk eller «nice to have»?

Men ikke bare det: Snart kommer også det som kalles DORA-forordningen (digital operasjonell motstandsdyktighet i finanssektoren).

- DORA-forordningen vil ha en rekke veldig spesifikke krav til hva slags sikkerhetstiltak man skal ha på plass. Med DORA får vi lange smørbrødlister med detaljerte krav, og også styrene får mer ansvar, både etter NIS-direktivet og DORA. 

Alt dette blir advokatmat, påpeker Vanebo.

- Tidligere har man nok tenkt at man kunne sette ut oppgavene med å være compliant til IT-avdelingen eller HR, men det går ikke lenger. Nå må juristene inn for å vurdere om et krav er obligatorisk eller bare «nice to have», påpeker han.

DORA-forordningen

Felleseuropeiske regler for å styrke den digitale operasjonelle motstandskraften til foretak i finanssektoren. Trer i kraft i EU i midten av januar 2025.

DORA (digital operasjonell motstandsdyktighet i finanssektoren) har fem hovedområder, ifølge Finanstilsynet.

  • Styring av IKT-risiko.
  • Håndtering av hendelser.
  • Testing av digital motstandsdyktighet.
  • Styring av tredjepartsrisiko.
  • Informasjonsdeling.

Kilde: Finanstilsynet

Kvantedatamaskiner kommer

Vanebo, som  i 2016 var statssekretær i Justis- og beredskapsdepartementet for Anders Anundsen (Frp), har de siste årene tatt videreutdanning i datateknologi og kunstig intelligens.

- Skal man lykkes som advokat innenfor dette feltet, så holder det ikke at man kan jussen. Man må forstå teknologien og bransjene. Å holde seg oppdatert krever mye jobb, men alternativet er å lukke øynene og bli helt akterutseilt, sier han.

Nylig var Vanebo i Zurich der han blant annet besøkte IBMs Think Lab, der det forskes på fremtidige teknologier.

I Zurich snakket forskerne mye om det neste store innen teknologiutviklingen; de såkalte kvantedatamaskinene, som er bygget på kvantefysikk.

- Kort fortalt kan disse utføre helt ufattelige regneoperasjoner som vil kunne bryte ned alt som er av kryptering. Dette kan potensielt endre hele cybersikkerhetsfaget.

Hvem står bak truslene?

I Norge bruker offentlige virksomheter store ressurser på cybersikkerhet, forteller Vanebo.

- Dersom tjenester innen helse, transport og energi rammes av datainnbrudd, vil det kunne bli kritisk. Og selvsagt er gassinfrastrukturen vi har i havet utsatt. En advokat som vil lage gode analyser, må ha kunnskap om trusselaktørene. Dette understreker hvorfor man som advokat må ha mer IT-kunnskap enn bare om personvern.

Det er ikke bare juristene som ser at det innenfor området cybersikkerhet finnes et marked, forteller han.

- Flere aktører har forberedt seg på de kommende EU-direktivene og EU-forordningene, og har laget løsninger for å etterleve de nye kravene. Dette må også sees i lys av at styreansvaret blir forsterket.

Har knyttet samarbeid

CMS Kluge samarbeider blant annet med Orange Cyberdefence, som ifølge egne nettsider er Europas ledende tilbyder av sikkerhetstjenester. Selskapet består blant annet av tre tusen cybersikkerhetseksperter, samt hundrevis av forskere og analytikere.

- Selskapet er kjempestort på verdensbasis, og vi gikk i dialog for å se om det kan finnes et felles marked for oss, sier Vanebo.

I september arrangerer Orange Cyberdefence en event i Oslo der det blant annet skal legges frem ferske trusselvurderinger og informasjon om fremvoksende teknologier.

Det er vanskelig for et advokatfirma å jobbe alene med cybersikkerhet, ifølge Vanebo.

- Man må ha flere bein å stå på. Vi samarbeider med flere sektorer, også kommunikasjonsbransjen. Men jeg er ganske sikker på at vi må oppbemanne etter hvert, og være forberedt på at markedet kommer til å vokse.

- Undervurdert personellsikkerhet

En bedrift er aldri sterkere enn sitt svakeste ledd, påpeker Vanebo.

Han forteller en liten historie om en IT-ekspert som fikk i oppdrag fra et departement om å prøve å bryte seg inn i det. Departementet mente at dette ville være nærmest umulig.

- Personen gikk på Instagram, søkte på det aktuelle departementet og på hashtaggen «ny jobb». Da dukket det opp en profil på en mann som skulle begynne å jobbe der, som hadde lagt ut et bilde av seg selv med adgangskortet rundt halsen.

- Forskeren forstørret opp adgangskortet, og ved hjelp fra en enkel maskin han hadde kjøpt på Clas Ohlson, klarte han å lage et kort som så veldig ekte ut. Da han kom til departementet, sa han til vakten at det måtte være noe galt med adgangskortet hans, og ble sluppet inn. Han tok seg så til departementets serverrom, der han tok et bilde av seg selv, som han sendte til oppdragsgiveren.

- Personellsikkerheten er litt undervurdert, sier Vanebo.

Powered by Labrador CMS