De siste ti årene har det vært en markant økning i både antall og kompleksitet av digitale trusler. Ransomware, supply chain-angrep og statssponset cyberkriminalitet har presset både økonomi, infrastruktur og samfunnssikkerhet. Det er ikke lenger et spørsmål om trusselen treffer, men når den gjør det.
EU har reagert ved å gjøre cybersikkerhet til et sentralt politisk og regulatorisk satsingsområde. Strategier og lovgivning skal sikre at medlemslandene sammen kan motstå digitale trusler. For å forstå EUs økende fokus på cybersikkerhet er det nødvendig å se både på bakgrunnen, de nye regelverkene og konsekvensene for organisasjoner.
EU skjerper cybersikkerheten
Det er flere årsaker til at EU har valgt å styrke innsatsen:
Ransomware og supply chain-angrep: Cyberkriminelle har blitt mer organiserte, og angrep mot leverandørkjeder har vist hvordan ett svakt ledd kan ramme hundrevis av virksomheter. Ransomware har utviklet seg til en milliardindustri, der angripere ikke bare krypterer data, men også truer med å publisere dem.
Covid-19 og akselerert digitalisering: Overgangen til hjemmekontor og skybaserte løsninger under pandemien gjorde mange virksomheter mer sårbare. Sikkerhetstiltakene klarte ikke alltid å holde tritt med tempoet i digitaliseringen, noe som åpnet nye angrepsflater.
Geopolitiske spenninger: Krigen i Ukraina har vist hvordan cyberangrep brukes som del av hybrid krigføring. Angrep mot energi- og kommunikasjonsinfrastruktur har rammet både Ukraina og EU-land, og statssponsede aktører er blitt en sentral faktor i Europas sikkerhetspolitikk.
Økende avhengighet av digitale tjenester: Kritiske funksjoner som helse og energiforsyning er i dag helt avhengige av digitale systemer. Stans i driften kan raskt få samfunnskritiske konsekvenser.
Dette samlede presset har formet EUs cybersikkerhetsstrategi, som siden 2020 har satt retningen for hvordan medlemslandene skal samarbeide om å forebygge, oppdage og håndtere digitale trusler.
EU’s Cybersecurity Strategy (2020)
I desember 2020 lanserte EU-kommisjonen en ny cybersikkerhetsstrategi med visjonen om «et digitalt sikkert Europa». Strategien inngår i EUs Digital Decade og skal styrke motstandsdyktigheten på tvers av medlemslandene.
Strategien bygger på tre søyler:
1) Robusthet og teknologisk suverenitet
Målet er å sikre at Europas digitale infrastruktur kan motstå og gjenopprette etter cyberangrep. Det handler både om tekniske krav og om å redusere avhengigheten av leverandører utenfor EU. Derfor har man blant annet vedtatt:
- NIS2-direktivet, som stiller skjerpede krav til sikkerhet i kritiske sektorer som energi, transport, helse og offentlig forvaltning.
- CER-direktivet, som supplerer NIS2 ved å stille krav til fysisk og digital robusthet i kritiske enheter.
- Cyber Resilience Act, som pålegger produsenter å bygge inn sikkerhet i programvare og produkter fra starten og sørge for løpende oppdateringer.
Tilsammen skal disse initiativene sikre at EU ikke bare er forbruker av teknologi, men også setter standarden for sikkerhet og skaper større uavhengighet fra eksterne aktører.
2) Forebygging og respons
Strategien legger vekt på at EU ikke bare skal reagere når skaden har skjedd, men også kunne forebygge og oppdage trusler tidlig. Det innebærer:
- et felles europeisk nettverk av sikkerhetsoperasjonssentre (SOC-er), som kan overvåke trusselbildet i sanntid.
- et styrket mandat til ENISA, EUs cybersikkerhetsbyrå, som nå både rådgir, koordinerer og støtter medlemslandene i større hendelser.
- etablering av en felles verktøykasse med metoder og beste praksis som kan brukes i hele EU.
Målet er et mer proaktivt forsvar der hendelser oppdages raskt og håndteres effektivt.
3) Internasjonalt samarbeid
Cybertrusler respekterer ikke landegrenser, og derfor skal EU samarbeide tett med globale partnere. Strategien prioriterer:
- prtnerskap med stater og internasjonale organisasjoner om informasjonsdeling og felles standarder.
- en aktiv rolle i internasjonale fora der regler og normer for cyberspace utvikles.
- tiltak mot statssponsede angrep, der EU kan bruke både diplomatiske og økonomiske virkemidler.
På denne måten søker EU å styrke sin posisjon som global aktør innen cybersikkerhet og bidra til et mer stabilt og forutsigbart digitalt miljø.
Digital Finance Strategy (2020)
Parallelt med Cybersikkerhetsstrategien lanserte EU i 2020 en egen strategi for digital finans. Målet var å sikre at Europas finanssektor kan utnytte digitaliseringens muligheter uten å gå på bekostning av sikkerheten. Strategien skulle både støtte innovasjon og styrke motstandsdyktigheten mot cybertrusler.
Det mest betydelige resultatet er DORA-forordningen (Digital Operational Resilience Act), som stiller bindende krav til finanssektorens håndtering av IKT-risiko.
DORA omfatter blant annet:
- IKT-risikostyring: Systematisk identifisering, vurdering og håndtering av digitale risikoer.
- Hendelsesrapportering: Alvorlige IT-hendelser skal rapporteres raskt og presist.
- Leverandør- og skybasert styring: Krav om kontroll og overvåking av kritiske tredjepartsleverandører, spesielt skyleverandører.
- Testing av robusthet: Finansinstitusjoner må jevnlig teste evnen til å motstå og gjenopprette etter angrep.
DORA tydeliggjør at digital robusthet er en strategisk nødvendighet for Europas finansielle stabilitet.
Fra strategi til regulering – EUs nye normal
De siste årene har vist at EUs cybersikkerhetsstrategier ikke blir liggende i Brussel. De omsettes til bindende regelverk, og virksomheter i hele Europa må nå tilpasse styring, prosesser og investeringer etter lovkrav.
Compliance er ikke lenger en frivillig beste praksis, men en regulert forpliktelse på linje med finansrapportering eller miljøkrav. Manglende etterlevelse fører ikke bare til økt risiko, men også til juridiske og økonomiske konsekvenser.
NIS2-direktivet er det tydeligste eksempelet. Mens det opprinnelige NIS-direktivet hovedsakelig omfattet energi og telekommunikasjon, gjelder NIS2 nå også helse, transport, digital infrastruktur, finans og en rekke offentlige myndigheter. For mange organisasjoner betyr det krav om dokumentert risikostyring, beredskapsplaner og hendelsesrapportering på et nivå de tidligere ikke har vært underlagt.
Direktivet stiller også nye krav til ledelsen, som skal ta aktivt ansvar for cybersikkerheten. Det er ikke lenger nok å delegere ansvaret til IT-avdelingen. Ledelsen må selv kunne dokumentere hvordan organisasjonen etterlever NIS2.
DORA-forordningen går enda lenger i finanssektoren. Finansielle virksomheter må ikke bare håndtere cyberhendelser, men også teste beredskapen løpende og dokumentere evnen til å opprettholde kritiske funksjoner under press.
En sentral del er leverandørstyring, ettersom store deler av sektoren er avhengig av skytjenester. DORA krever tett kontroll og overvåking av disse relasjonene.
CER-direktivet (Critical Entities Resilience) minner oss om at digitale og fysiske trusler henger tett sammen. En cyberhendelse kan få fysiske konsekvenser og omvendt. Derfor krever CER at virksomheter i kritiske sektorer styrker både sin digitale og fysiske robusthet.
For eksempel må energiselskaper ikke bare sikre IT-systemene sine mot angrep, men også ha kontroll på adgangsstyring og overvåking, nødstrømsløsninger, rutiner for brann og oversvømmelse, samt planer som sikrer at driften kan opprettholdes under ekstreme forhold.
Cyber Resilience Act utfyller bildet ved å stille krav til produsenter av programvare og maskinvare, hvor sikkerhet skal bygges inn fra starten og ivaretas gjennom hele produktets livssyklus.
Hva betyr dette for virksomheter?
For både offentlige og private aktører innebærer EUs reguleringer nye forpliktelser og nye forventninger til hvordan sikkerhetsarbeidet organiseres.
Flere sektorer er direkte regulert
Der man tidligere primært stilte krav til energi og telekommunikasjon, omfatter regelverket nå et mye bredere spekter. Sykehus, kommuner, banker, transportaktører og digitale tjenestetilbydere må alle kunne dokumentere beredskap og sikkerhet.
Ledelsesansvaret er styrket
Toppledelsen har fått en ny rolle. Cybersikkerhet er nå en strategisk ledelsesoppgave på linje med økonomistyring og ESG. Direktør og styre må følge opp risikoer, investeringer og leverandørvalg, og sikre at hele verdikjeden oppfyller kravene. Ansvaret er tydelig, ufravikelig og direkte knyttet til ledelsen.
LES OGSÅ: Complianceprogrammer: Få ledelsens støtte og forståelse
Compliance krever systematikk og dokumentasjon
For å etterleve kravene må virksomheten dokumentere og systematisere arbeidet med cybersikkerhet, blant annet gjennom:
- Jevnlige risikovurderinger
- Klare prosedyrer for hendelseshåndtering
- Kontinuerlig kontroll av leverandører og samarbeidspartnere
Dette handler ikke om å fylle ut en sjekkliste, men om å etablere en praksis som tåler både tilsyn og reelle cyberangrep.
Behovet for verktøy øker
Manuell håndtering av kravene blir raskt uhåndterlig. Derfor ser man økende interesse for GRC-plattformer, som samler governance, risk og compliance i én løsning. For mange virksomheter er dette den eneste realistiske måten å få oversikt på tvers av data, prosesser og rapportering.
Fra plikt til konkurransefortrinn
Selv om regelverket kan oppleves som krevende, gir det også muligheter. Virksomheter som kan dokumentere robusthet og compliance står sterkere i anbudsprosesser, i dialog med samarbeidspartnere og i relasjonen til kunder og borgere. Sikkerhet og ansvarlighet er blitt et konkurranseparameter. Virksomheter som kan bevise dette, får et tydelig forsprang.
Cybersikkerhet som Europas konkurransefortrinn
EUs reguleringer viser tydelig at cybersikkerhet ikke bare handler om å beskytte systemer og data, men også om Europas evne til å konkurrere globalt og bevare teknologisk suverenitet. Når USA og Kina investerer massivt i digitale løsninger, søker EU å skille seg ut gjennom å kombinere innovasjon med ansvarlighet.
Det innebærer at virksomheter i Europa ikke bare måles på pris og kvalitet, men også på evnen til å levere sikre og pålitelige digitale tjenester. På sikt kan dette bli et av Europas sterkeste konkurransekort: at virksomheter opererer i et økosystem der sikkerhet er en integrert del av verdikjeden.
