NIS2 er i praksis en risikobasert lov. Det betyr at virksomheter ikke bare skal ha kontroller på plass, men må kunne dokumentere at de forstår de faktiske risikoene de står overfor. I mange organisasjoner fører dette til et stort antall risikovurderinger, som tar mye tid uten nødvendigvis å gi bedre kontroll og styring. Vår tilnærming i Orkla Foods har vært å forenkle dette ved å skille tydelig mellom strategiske og operasjonelle risikoer.
På overordnet nivå har vi definert et begrenset sett strategiske risikoer som beskriver hva som kan påvirke virksomheten som helhet, som for eksempel avbrudd i produksjon. På denne måten så slipper vi at de ulike forretningsnhetene og 30+ fabrikker bruker tid, hver for seg, på å konkludere med det samme risikoscenarioet. Det avgjørende er å forstå hva som kan føre til at dette skjer lokalt: for eksempel hvilke lokale drivere som kan utløse et produksjonsstopp i den enkelte forretningsenheten.
Denne forskjellen er også styrende for hvordan vi jobber med sikkerhet. Selv om effekten av et risikoscenario er i stor grad lik, så er årsakene ulike, noe som betyr at sikkerhetstiltakene må også være ulike. Denne presentasjonen handler om hvordan vi har gjort risiko til utgangspunktet for alt vi gjør innen informasjonssikkerhet – fra prioriteringer og tiltak, til hvordan vi styrer og utvikler sikkerhetsnivå«>sikkerhetsnivået i organisasjonen.
Målet er ikke bare å oppfylle NIS2, men å bruke kravene som et verktøy for å jobbe mer målrettet, effektivt og robust med sikkerhet.