For å forberede seg på hvilke minimumstiltak som bør etableres, bør norske virksomheter lese forslaget til ny cybersikkerhetslov som implementerer NIS2 i Sverige. De nye cybersikkerhetsreglene foreslås å tre i kraft i Sverige i løpet av høsten 2025. 1
Den svenske organiseringen av sikkerhetsarbeidet ligner Norges, og det er grunn til å tro at norske myndigheter kommer til å la seg inspirere av den svenske implementeringen.
nLogic bistår nå flere kunder med gjennomgang av egne nettverks- og informasjonssystemer, og vi vil trekke frem de viktigste områdene, som norske virksomheter nå bør forberede seg på:
| UTVIDET VIRKEOMRÅDE | Flere sektorer omfattes, og regler for virksomhetsstørrelse innføres for å sikre harmonisering mellom landene. Offentlig sektor, kommuner, fylkeskommuner og direktorater omfattes, det samme gjelder høyskoler og forskningsinstitusjoner! |
| ØKTE SIKKERHETSKRAV | Direktivet fastsetter en minimumsstandard for sikkerhetstiltak og håndtering av hendelser for å heve det felles sikkerhetsnivået. Medlemslandene kan beslutte tillegg eller skjerpede krav, men direktivet utgjør den grunnleggende standarden som skal implementeres. |
| SANKSJONER | For virksomheter som ikke overholder regelverket, kan sanksjoner pålegges på opptil 10 millioner EUR eller 2 prosent av den globale årsomsetningen. Leder kan fratas muligheten til å inneha en lederstilling, og ledelsen kan i tillegg holdes ansvarlig i henhold til nasjonal rett, spesielt dersom det kan påvises manglende oppfølging, kunnskap eller beslutningsansvar. Se for eksempel forslag til svensk cybersikkerhetslov, der tilsynsmyndighetene kan be retten om å frata en daglig leder eller annen ledelsesperson muligheten til å inneha en lederstilling i virksomheten, dersom det er alvorlige brudd på loven. |
| SIKKERHETSKRAV I LEVERANDØRKJEDEN | For å håndtere den økende tredjepartsrisikoen, utvides sikkerhetskravene til også å omfatte virksomhetens leverandørkjede. |
| ØKTE KRAV TIL LEDELSEN | De styrende organene i virksomhetene er ansvarlige for å godkjenne sikkerhetstiltakene og overvåke implementeringen av disse, og kan også holdes ansvarlige ved manglende overholdelse. Ledelsen må gjennomgå opplæring for å kunne identifisere risikoer og vurdere risikostyringstiltakene og deres innvirkning på tjenestene som virksomheten leverer. |
| ØKT KRAV TIL RAPPORTERING | Hver medlemsstat skal sikre at vesentlige og viktige enheter uten unødig forsinkelse informerer sitt CSIRT-enhets eller, når det er aktuelt, sitt kompetente organ i samsvar med punkt 4 om alle hendelser som har en betydelig innvirkning på leveringen av deres tjenester i henhold til punkt 3 (betydelig hendelse). Når det er hensiktsmessig, skal berørte enheter uten unødig forsinkelse informere mottakerne av deres tjenester om betydelige hendelser som sannsynligvis vil påvirke leveringen av tjenestene negativt. |
Kilde: Radar Norway 2024
SVENSKE KOMMUNER OG FYLKESKOMMUNER OMFATTES OGSÅ AV NIS2
Sveriges nye cybersikkerhetslov skal gjelde for de fleste statlige myndigheter. Alle regioner og kommuner er omfattet, og utdanningsinstitusjoner med eksamenstillatelse skal omfattes. Det kan bli en lignende innføring i Norge. Beslutningstakere i Norge, både i offentlig forvaltning, kommune- og fylkeskommuner/regioner og høyskoler/universiteter bør forberede seg på å tilfredsstille minimumskravene og investere i økt motstandskraft. 2
Økte krav til ledelsen: Leder kan fratas muligheten til å inneha en lederstilling
Ledelsen kan holdes ansvarlig i henhold til nasjonal rett, spesielt om det kan påvises manglende oppfølging, kunnskap eller beslutningsansvar. Dette er ikke eksplisitt regulert i direktivet, men overlates til nasjonal lovgivning. Se for eksempel forslag til svensk cybersikkerhetslov, der tilsynsmyndighetene kan be retten om å frata en daglig leder eller annen ledelsesperson muligheten til å inneha en lederstilling i virksomheten, dersom det er alvorlige brudd på loven.
Norsk implementering av NIS2-regelverket er under utarbeidelse, men det er per nå ikke kjent når forslaget kommer på høring.
Hva er minimumskravene som stilles til virksomhetene som omfattes?
Virksomheter som ønsker å styrke egen motstandskraft, kan med fordel benytte disse minimumstiltakene som identifiseres i NIS2-regelverket, og som speiles i lovkravene i den nye, svenske cybersikkerhetsloven:
Les også vår gjennomgang av viktige elementer i NIS2-regelverket her: https://www.nlogic.no/losninger/sikkerhet/nis2/
Når blir NIS2-direktivet implementert og gjeldende i Norge?
Justis- og beredskapsdepartementet har hovedansvaret for gjennomføringen av direktivene i Norge og forberedende lovarbeid pågår. Det er ikke kjent når høringen om implementering av NIS2-direktivet kommer i Norge, men norske aktører bør allerede nå arbeide aktivt med å implementere minimumstiltakene på nettverks- og informasjonssikkerhet. Dette fordi minimumstiltakene gjelder i EU allerede nå, og de nye svenske reglene allerede fra høsten 2025.
De nye kravene vil påvirke etterspørselen etter sikkerhetstjenester i hele Europa, og det blir viktig, for virksomhetene, å sikre seg tilgang på relevante sikkerhetstjenester.
Hva kan Nlogic bistå din virksomhet med?
Nlogic bistår nå flere virksomheter med å forstå og møte kravene i NIS2 – og se dem i sammenheng med CER-direktivet og annen relevant regulering. Vi tilbyr:
🔹 Analyse og kartlegging
Vi gjennomfører modenhetsanalyser og gap-analyser basert på kravene i direktivene, og gir konkrete anbefalinger.
🔹 Sikkerhetsvurdering og risikobilde
Ved hjelp av innsikt og analyse bistår vi med å identifisere relevante trusler, risikonivå og sårbarheter – både teknisk og organisatorisk.
🔹 Styringsmodeller og implementering
Vi hjelper virksomheter med å etablere rutiner, prosesser og strukturer for etterlevelse og kontinuerlig forbedring.
🔹 Ledelsesforankring og opplæring
Vi støtter toppledere og styrer i å forstå det nye ansvaret – og tilbyr skreddersydd opplæring og rådgivning.
Har du spørsmål rundt NIS2? Vi hjelper deg
Lau Sørensen
Løsningsrådgiver