Hva er NIS2?
NIS står for nettverks- og informasjonssikkerhet og er et direktiv som har som hensikt å styrke det kollektive digitale forsvaret i EU- og EØS-landene. Direktivet ble allerede vedtatt i EU i 2016 og vi står nå ovenfor en utvidelse av NIS-direktivet med implementering av NIS2.
Den nye norske loven om Digital Sikkerhet er basert på NIS-1, men forventes senere å bli endret slik at NIS-2 inkluderes i denne. I EU-land vil NIS-2 gjelde allerede fra oktober 2024. Mange norske selskaper forholder seg nå til kravene som er i NIS-2, da man forventer at direktive tas inn i norsk lov.
Viktigheten av NIS2
Utvikling av antall cyberangrep har økt betraktelig de siste årene og dette påvirker virksomheter, infrastruktur og enheter i større grad en tidligere. Sikkerhet og tiltak har blitt viktigere for å skjerme kritiske instanser ytterligere og det nye direktivet kommer er mer omfattende for å styrke sikkerheten og beredskap.
Hvilke krav stiller NIS2 til virksomheten?
-
Ledelsens ansvar Ledelsen i en virksomhet må være kjent med kravene til direktivet og virksomhetens risikostyring. Det vil være ledelsens ansvar å sikre at kravene overholdes.
-
Risikostyring og håndtering Virksomheter som kvalifiserer til kriteriene av NIS2 må gjennomføre risikoanalyse og identifisere sårbarheter og trusler.
-
Leverandørsikkerhet Virksomheter må ta hensyn til sikkerheten hos leverandører. Vurdering og håndtering av risiko må vurderes opp mot leverandør for å kartlegge sårbarheter og trusler.
-
Sikkerhetstiltak Berørte virksomheter må implementere sikkerhetstiltak som dekker nettverk- og informasjonssikkerhet mot mulige risikoer.
-
Rapportering NIS2 krever at berørte virksomheter skal rapportere enhver hendelse som har betydelig innvirkning på tjenesten som leveres.
-
Kontinuitet i virksomheten Berørte virksomheter må sikre kontinuitet ved en større sikkerhetshendelse. Av den grunn må virksomheten jobbe med å minimere påvirkning av drift gjennom tiltak innen krisehåndtering og disaster recovery.
Blir du berørt av NIS2?
Direktivet er hovedsakelig gjeldende for virksomheter i utvalgte sektorer og blir kategorisert som viktige- og vesentlige sektorer. Det finnes også noen unntak og direktivet kan også gjelde mindre virksomheter som har en viktig rolle for samfunn og økonomi. F.eks. vil dette kunne være gjeldende for virksomheter som leverer digitale tjenester og kommunikasjon.
Kort oppsummert så vil flere virksomheter bli underlagt det nye direktivet sammenlignet med NIS1. Det nye direktivet skiller mellom to kategorier med forskjellige sektorer.
Viktige sektorer
- Post og kurer tjenester
- Produksjon og distribusjon av kjemikalier
- Matproduksjon, – prosessering og -distribuering
- Avfallshåndtering
- Digitale tjenestetilbydere
- Forskning
- Produksjon av elektronikk, medisinsk utstyr mv.
Vesentlige sektorer
- Energi
- Transport
- Bank
- Infrastruktur mot finansielle markeder
- Vann og avløp
- Drikkevann
- Helsetjenester
- Offentlig administrasjon
- Romfart
Tilsyn og sanksjoner
Sammenlignet med NIS1 så vil NIS2 stille strengere krav for tilsyn som skal sikre etterlevelse av direktivet. Det vil være strengere tilsyn til vesentlige sektorer enn for viktige sektorer.
Dersom ikke regelverket av NIS2 etterleves kan du risikere bot:
- Viktige sektorer kan få bøter opptil 7 millioner euro eller 1,4% av dere globale årlige omsetning.
- Vesentlige sektorer kan få bøter opptil 10 millioner euro eller 2% av deres globale omsetning.
Teknologiske og organisatoriske krav
NIS2-direktivet fastsetter klare retningslinjer for teknologiske krav. Disse kravene er fundamentale for å styrke sikkerheten av digitale tjenester og kritisk infrastruktur og adresseres i artikkel 21 fra NIS-direktivet.
Disse teknologiske kravene utgjør en helhetlig tilnærming til nettverks- og informasjonssikkerhet og vil mest sannsynlig bli obligatoriske krav som må være på plass for alle virksomheter som blir omfattet av NIS2-direktivet.
(a) policies on risk analysis and information system security;
(b) incident handling;
(c) business continuity, such as backup management and disaster recovery, and crisis management;
(d) supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers;
(e) security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure;
(f) policies and procedures to assess the effectiveness of cybersecurity risk-management measures;
(g) basic cyber hygiene practices and cybersecurity training;
(h) policies and procedures regarding the use of cryptography and, where appropriate, encryption;
(i) human resources security, access control policies and asset management;
(j) the use of multi-factor authentication or continuous authentication solutions, secured voice, video and text communications and secured emergency communication systems within the entity, where appropriate.
Det er viktig å forstå at disse teknologiske og organisatoriske kravene er med på å bygge opp under de seks forskjellige hovedpunktene som NIS2-direktivet er basert på.
Hold deg oppdatert på NIS2, meld deg på nyhetsbrev
Forberedelser og våre anbefalinger til NIS2
Vår anbefaling er at du allerede nå undersøker hvilken relevans NIS2 har for din virksomhet. Planlegging, gjennomføring og drift av direktivets tiltak kan være tidkrevende og kreve samhandling på tvers av avdelinger og fagområder.
Det finnes allerede en rekke rammeverk, sertifiseringer eller lignende som støtter virksomheten med å oppnå de nye kravene, blant annet ISO 27001. Det er derfor viktig å undersøke om du allerede oppfyller en eller flere krav fra NIS2.
Hvordan vi kan hjelpe din virksomhet
Vi kan ikke gi deg en avklaring på om din virksomhet blir underlagt NIS2-direktivet, men vi hjelper deg med rådgivning og veiledning for å sikre at dere kan oppnå kravene som er i NIS2-direktivet.
Les mer om hvordan vi kan hjelpe deg med å oppnå kravene NIS2-direktivet etterspør og hvilke teknologiske og organisatoriske krav våre løsninger hjelper deg med.
Har du behov for å diskutere NIS2?
Ta kontakt med oss for en uforpliktende prat om NIS2.
Vi hjelper deg med å finne løsninger som støtter opp under de forskjellige kravene NIS2-direktivet stiller. Samtidig er dette en god mulighet til å komme i gang med viktige sikkerhetstiltak for din virksomhet.
