Med implementeringen av NIS2 går vi inn i en ny æra for cybersikkerhet der forebygging, beredskap og åpenhet er nøkkelen i kampen mot digitale trusler. Direktivet skal være implementert innen oktober 2024, og da må en rekke organisasjoner oppfylle kravene til styring, risikostyring, kontinuitet og rapportering til myndighetene.
Hva står NIS2 for?
NIS2 står for "Network and Informations Systems 2" - eller nettverks- og informasjonssikkerhetsdirektivet. NIS2-direktivet er en oppdatering av EUs opprinnelige NIS-direktiv, som ble innført i 2018 for å styrke cybersikkerheten på tvers av bransjer og sektorer i EUs medlemsland.
NIS2 utvider og styrker de eksisterende reglene ved å innføre strengere sikkerhetskrav, rapporteringsforpliktelser og forbedrede krav til tilsyn og håndhevelse.
Hvilke NIS2-krav stiller direktivet?
NIS2-direktivet krever at organisasjoner iverksetter "hensiktsmessige og forholdsmessige tekniske, operasjonelle og organisatoriske tiltak for å håndtere risikoen for sikkerheten i nettverks- og informasjonssystemer". Det er en innviklet beskrivelse som i korte trekk betyr at det vil være nødvendig å gjennomføre løpende risikoanalyser for å identifisere og vurdere risikoer knyttet til sårbarheter og trusler og iverksette egnede sikkerhetstiltak.
Hvorvidt et sikkerhetstiltak er hensiktsmessig i henhold til direktivet, avgjøres ut fra en vurdering av risikoen for at en trussel realiseres og konsekvensene av den. Jo høyere risikoen er, desto strengere bør sikkerhetskravene være.
I tillegg til risikostyring som et fast fokuspunkt, krever NIS2 en rekke obligatoriske tiltak, blant annet:
Håndtering av hendelser
NIS2 understreker behovet for en robust incident management-plan, for å sikre at organisasjonen er klar dersom det oppstår et cyberangrep. Planen er avgjørende for å minimere skaden, gjenopprette normal drift så raskt som mulig og i siste instans styrke organisasjonens motstandskraft mot cyberangrep.
Sikkerhetskopiering og krisehåndtering
I tillegg til håndtering av hendelser krever NIS2 at organisasjoner har en IT-beredskapsplan som definerer hva som skal gjøres og hvem som er ansvarlig. I tillegg må det finnes en klar prosedyre for sikkerhetskopiering for å sikre rask gjenoppretting av driften.
Sikkerhet i leverandørkjeden
NIS2-direktivet stiller strengere krav til sikkerhet i leverandørkjeden, noe som innebærer at organisasjonen må identifisere, vurdere og håndtere risikoer knyttet til tredjeparter. Dette omfatter leverandører, distributører, underleverandører, tjenesteleverandører, partnere og andre eksterne aktører som har tilgang til organisasjonens data, systemer eller ressurser.
Kontinuerlig vurdering av sikkerhetstiltak
Fremover vil det bli satt ytterligere fokus på IT-sikkerhet i forbindelse med anskaffelse, utvikling og drift av organisasjonens nettverk og informasjonssystemer. Dette inkluderer håndtering og avdekking av sårbarheter, og det er viktig å ha en plan for å forebygge og identifisere angrep på systemene.
Opplæring av ansatte
NIS2 krever ikke bare praktiske tiltak, men også opplæring av de ansatte for å skape gode sikkerhetsvaner i organisasjonen, inkludert sterke passord og regelmessige programvare- og antivirusoppdateringer.
LES OGSÅ: NIS2: Forstå direktivet om nett- og informasjonssikkerhet
Personellsikkerhet og tilgangskontroll
Direktivet skjerper kravene til retningslinjer for blant annet tilgangskontroll. Det betyr at organisasjonen må ha kontroll over brukerrettigheter; hvem har tilgang til hvilke systemer og data? Samtidig skal styret og toppledelsen tilbys opplæring i sikkerhet, personvern og dataetikk.
Retningslinjer for kryptering
Hvis kryptering brukes i organisasjonen, krever NIS2 retningslinjer for kryptering. Du må aktivt ta stilling til hvilke data som skal krypteres og hvordan - både internt og eksternt.
I tillegg innfører direktivet en særskilt rapporteringsplikt som krever at organisasjoner varsler myndighetene om vesentlige hendelser så snart som mulig og senest innen 24 timer. Varselet skal følges opp med en detaljert oppdatering og vurdering av hendelsen innen 72 timer.
Hvem omfattes av NIS2?
Omfanget av NIS2 er betydelig utvidet i forhold til forgjengeren, noe som betyr at du som organisasjon kan være omfattet av direktivet hvis du utfører aktiviteter innenfor:
- Digital infrastruktur
- Drikkevann og avløpsvann
- Energi
- Finans
- Offentlig administrasjon
- Luft- og romfart
- Helse og velvære
- Transport
I tillegg omfatter NIS2 tjenester knyttet til områder som post- og budtjenester, avfallshåndtering og produksjon, produksjon og distribusjon av kjemikalier. Matproduksjon, -foredling og -distribusjon omfattes også av direktivet, i tillegg til produksjon av medisinsk og elektronisk utstyr, maskiner, motorkjøretøyer, sosiale nettverksplattformer, nettbaserte markedsplasser og søkemotorer.
