En utfordrende geopolitisk og økonomisk situasjon, med et komplekst og sammensatt trusselbilde gir utfordringer for norske beslutningstakere innen IT. Norske virksomheter møter samtidig et økt trusselnivå, økte kostnader og økte regulatoriske og administrative krav. I denne artikkelen tar vi for oss viktige norske regler og krav om digital sikkerhet som påvirker norske beslutningstakere innen IT.
Vårt samfunn er digitalisert og viktige tjenester og sensitive data er avhengige av et høyt nivå av cybersikkerhet. Agendaen for digital sikkerhet styrkes både på EU-nivå og i Norge gjennom nye regler, som setter høyere krav til virksomheters motstandskraft mot cybertrusler. EU har vedtatt direktiver og reguleringer – NIS1 og nå NIS2 samt DORA og CER – som alle har til formål å løfte den digitale sikkerheten.
NIS 1 og 2-direktivene sikter spesifikt på sikkerhet i kritiske digitale tjenester: Network and Information System (NIS).
Økt digital motstandskraft gjennom Lov om digital sikkerhet
Formålet med digitalsikkerhetsloven er å bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Det stilles krav om at man i disse virksomheter kan forebygge, avdekke og motvirke uønskede hendelser i nettverk og informasjonssystemer.
Ny forskrift om digital sikkerhet på høring
Justis- og beredskapsdepartementet har høsten 2024 sendt til høring forslag til forskrift om digital sikkerhet (digitalsikkerhetsforskriften). Forskriften gjennomfører NIS1-direktivet i norsk rett. Etter NIS1 skal virksomhetene gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor, og det innføres en plikt til å varsle om alvorlige digitale hendelser.
Samtidig pågår det et arbeid med å utarbeide et utkast til høringsnotat med nødvendige regelverksendringer for gjennomføring av NIS2-direktivet og CER-direktivet i norsk rett.
Hvilke aktører omfattes av den nye forskriften og loven?
Reglene omfatter samfunnsviktige tjenester innenfor samfunnssektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Også tilbydere av digitale tjenester, nærmere bestemt nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester, omfattes av direktivet.
Hensiktsmessige og proporsjonale tiltak
Sikkerhetstiltakene som foreslås i forskriftsforslaget skal være hensiktsmessige, proporsjonale og samlet sørge for et sikkerhetsnivå som er tilpasset risikoen. I dette ligger at omfanget av sikkerhetstiltakene må tilpasses størrelsen og kompleksiteten på virksomheten.
Viktige områder som foreslås forskriftsfestet
Styringssystem
Det foreslås å forskriftsfeste at tilbyder av samfunnsviktig tjeneste skal etablere og vedlikeholde et styringssystem for digital sikkerhet, som beskriver virksomhetens sikkerhetsarbeid, og at dette skal være en del av virksomhetens styringssystem. Styringssystemet for digital sikkerhet vil omfatte både digitale, fysiske og personelle sikkerhetstiltak. Arbeidet med digital sikkerhet bør inngå som en del av den ordinære styringen av virksomheten. Styringssystemet vil blant annet kunne sikre at virksomheten implementerer nødvendige sikkerhetstiltak og har en plan for håndtering av hendelser.
Risikostyring
Risikostyring skal inngå som en del av styringssystemet og skal sikre at virksomheten oppfyller lovpålagte krav.
Forskriften foreslår krav til hva risikovurderingen minst skal inneholde:
- en kartlegging av virksomhetens nettverk og informasjonssystemer og hvilken betydning disse har for leveransen av den samfunnsviktige tjenesten
- hvilke hendelser disse kan bli utsatt for
- hvilke sårbarheter som er knyttet til virksomhetens nettverk og informasjonssystemer,
- sannsynligheten for at en hendelse kan inntreffe
- konsekvensen av hendelser
- i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal
Lederansvar
Virksomhetens leder har det overordnede ansvaret, og det foreslås et krav om at sikkerhetsstyringssystemet skal godkjennes av virksomhetens leder og årlig gjennomgås med sikte på forbedring. Virksomhetens øverste ledelse er ansvarlig for å sette mål og føringer for sikkerhet, etablere et styringsdokument for det forebyggende sikkerhetsarbeidet, sikre hensiktsmessig sikkerhetsorganisering og følge opp sikkerhetsarbeidet jevnlig, blant annet ved å sørge for at iverksatte sikkerhetstiltak kontrolleres.
Det er viktig at virksomhetens øverste ledelse har et bevisst forhold til digital sikkerhet, og dette sikres blant annet ved krav om ledelsesforankring av sikkerhetsstyringssystemet.
Minimum sikkerhetskrav og teknologiske sikkerhetstiltak
Forskriften skal angi et minumumsnivå for digital sikkerhet og skal kunne benyttes av flere virksomheter av ulike størrelser. Det angis en noen konkrete kategorier av sikkerhetstiltak, som minst skal implementeres.
Dette inkluderer bl.a. krav om:
- To- eller flerfaktorautentisering.
- Tilgangskontroll basert på tjenstlig behov.
- Segmentering av tjenester basert på en prinsipp om minste minimum av rettigheter.
- Tilgang som skal sikre håndtering av «business continuity» og gjennoppretting.
- Tiltak for oppdatering, slik at infrastrukturen alltid er oppdatert og robust.
- Overvåkning for å avdekke uønskede hendelser i infrastrukturen.
Ovenstående er områder som de fleste organisasjoner allerede jobber strukturert med, men likevel vil det være behov for å se over løsninger og eventuelt innføre ny teknologi for å møte kravene.
Varslingsplikt ved hendelser
Det innføres en varslingsplikt for hendelser som har betydelig innvirkning på tjenesteleveransen. Tilbydere skal varsle innen 24 timer etter at de fikk kjennskap til hendelsen, med oppdateringer innen 72 timer og en fullstendig hendelsesrapport innen en måned.
Hva bør virksomheter nå gjøre?
Implementeringen av digitalsikkerhetsforskriften vil kreve at mange virksomheter gjennomgår og oppdaterer sine sikkerhetsrutiner. For å sikre etterlevelse og beskytte seg mot digitale trusler, bør virksomheter:
- Gjennomføre grundige risikovurderinger: Identifisere potensielle trusler og sårbarheter i sine nettverk og informasjonssystemer.
- Etablere robuste styringssystemer for digital sikkerhet: Utvikle og implementere prosedyrer og tiltak som adresserer identifiserte risikoer.
- Innføre teknologiske sikkerhetstiltak: Gjennomgå eksisterende teknologiplattform og oppdatere denne for å møte minimumskravene.
- Sikre effektiv hendelseshåndtering: Utvikle planer for rask respons på sikkerhetshendelser, inkludert klare varslingsprosedyrer.
- Forberede seg på tilsyn: Være klar til å demonstrere etterlevelse av forskriftens krav overfor relevante myndigheter.
Hvordan kan vi hjelpe?
Med vår ekspertise innen sikkerhet for nettverk og informasjonssystemer, står nLogic klar til å støtte din virksomhet i denne overgangen til økt motstandskraft. Vi tilbyr:
- Rådgivning om etterlevelse: Veiledning i hvordan din virksomhet kan oppfylle kravene i digitalsikkerhetsforskriften, NIS2 eller andre reguleringer.
- Risikovurderinger: Gjennomføring av omfattende analyser for å identifisere og vurdere digitale trusler.
- Utvikling av styringssystemer: Hjelp til å etablere og implementere effektive styringssystemer for digital sikkerhet.
- Rådgivning om teknologiske løsninger: Bistand til gjennomgang av eksisterende teknologi-plattform og utarbeidelse av løsningsforslag og implementering.
- Opplæring og bevisstgjøring: Kurs og workshops for å øke ansattes kompetanse innen digital sikkerhet.
Er din virksomhet klar for de nye kravene til digital sikkerhet? Kontakt oss for en uforpliktende sikkerhetsvurdering og se hvordan vi kan hjelpe deg med å beskytte dine verdier.
Har du spørsmål?
Ta kontakt med oss hvis du har spørsmål til oss eller ønsker en sikkerhetsvurdering.