Ibland lämnar man ett event med känslan av att en marknad är på väg att förändras i grunden. Så kändes European Resilience Summit - en dag bland människor från Microsoft, Deloitte, Capgemini, Fujitsu och offentlig sektor, där ett tema återkom gång på gång: cybersäkerhet är inte längre en IT-fråga. Det har blivit ett ansvar för styrelsen.
Vissa event handlar helt om ny teknik. Andra lämnar dig med känslan av att en marknad förändras i grunden. European Resilience Summit var definitivt av det andra slaget.
Under dagen talade jag med människor från organisationer som Microsoft, Deloitte, Capgemini, Fujitsu och flera offentliga aktörer. Samtalen spände från AI till digital infrastruktur och geopolitik, men ett tema återkom hela tiden: cybersäkerhet är inte längre en IT-fråga. Det har blivit ett ansvar för styrelsen.
Den nya verkligheten med NIS2 och den nederländska cybersäkerhetslagen
De flesta organisationer känner numera till NIS2. Ändå märkte jag i samtal efter samtal att dess påverkan fortfarande underskattas. Den nederländska cybersäkerhetslagen, den nationella implementeringen av NIS2, lägger ansvaret tydligt på styrelsen.
Inom kort kommer styrelseledamöter inte bara att behöva godkänna åtgärder. De måste också kunna visa att de har uppsikt över hur åtgärderna genomförs, och att de vet tillräckligt för att fatta rätt beslut. Det förändrar spelplanen helt. I åratal var cybersäkerhet främst en fråga för IT-chefer och säkerhetsspecialister; nu hamnar den direkt på styrelsens agenda.
Tre frågor varje styrelseledamot bör kunna besvara
En av dagens starkaste slutsatser var förvånansvärt enkel. Varje organisation bör kunna besvara tre frågor redan i dag:
- Omfattas vi? Är vi en väsentlig eller viktig verksamhet enligt lagstiftningen?
- Kan vi visa att vi lever upp till kraven? Inte bara att ha policyer, utan att faktiskt kunna belägga övervakning, loggning, åtkomstkontroll och riskhantering.
- Vem är ansvarig? Vilken styrelseledamot bär ytterst ansvaret och kan hållas till svars?
Talande nog är ingen av dessa en teknisk fråga. Det är frågor om styrning.
Tekniken ensam räcker inte
Vad jag hörde i många samtal är att organisationer ofta letar efter den enda tekniska lösningen. Men regelefterlevnad börjar inte med tekniken. Den börjar med insikt. Du behöver känna dina risker, veta vilka processer som är kritiska och var era sårbarheter finns. Först därefter blir frågan om vilken teknik som stödjer den policyn aktuell.
Samtidigt kan organisationer inte vänta tills varje styrdokument är färdigt. Införandet av AI, moln och hybridarbete går helt enkelt för snabbt. Därför ser vi på Momentum EMEA två rörelser ske samtidigt:
- Från policy till teknik.
- Från teknik till policy.
Du utvecklar styrningen samtidigt som du inför de tekniska åtgärder som minskar risken direkt.
Från regelefterlevnad till cyberresiliens
Något annat stack ut: de mest mogna organisationerna talar knappt om regelefterlevnad längre. De talar om resiliens. Cyberresiliens. För dem är regelefterlevnad inte målet utan en biprodukt.
Dessa organisationer investerar i kontinuerlig övervakning, Zero Trust-arkitekturer, multifaktorautentisering, leverantörsbedömningar, spårbarhet och snabb detektering och respons. Inte för att lagen kräver det, utan för att deras verksamhetskontinuitet är beroende av det.
Var Momentum EMEA kommer in
I samtal får jag ofta frågan var ansvaret för en partner som Momentum börjar och slutar. Den gränsdragningen är viktig. Vi hjälper organisationer med den tekniska sidan av deras aktsamhetsplikt:
- Nätverkssegmentering
- Zero Trust Network Access (ZTNA)
- Multifaktorautentisering
- Kontinuerlig övervakning och loggning
- Detektering och respons
- Leverantörs- och åtkomstsäkerhet
- Säkerhet och uppkoppling via en enda integrerad plattform
Vad vi inte gör är att ta över styrelsens ansvar. Styrning, riskpolicy, juridisk avgränsning och styrelsens ansvarsutkrävande stannar hos organisationen själv. Men vi kan hjälpa till att få den tekniska grunden på plats på ett sätt som går att belägga.
Min viktigaste slutsats
Cybersäkerheten flyttar från serverrummet till styrelserummet. Inte för att tekniken betyder mindre, utan just för att den betyder mer.
Organisationer som i dag investerar i insikt, styrning och teknisk resiliens bygger kontinuitet för morgondagen. För i slutänden handlar resiliens inte om att uppfylla ett lagkrav. Det handlar om huruvida din organisation fortfarande kan verka säkert i morgon om något händer i dag. Och det är ett ansvar som nu når alla vid styrelsebordet.