Nettverks- og informasjonssikkerhetssystemer er blitt et sentralt tema i den digitale tidsalderen, og samfunnet vårt er i økende grad avhengig av en velfungerende og sikker digital infrastruktur. Med den raske digitale utviklingen og de økende truslene fra cyberangrep er det avgjørende å styrke den kollektive innsatsen på dette området, og EU har derfor vedtatt NIS2-direktivet.
NIS2 er en oppdatert versjon av det opprinnelige NIS-direktivet (også kjent som Network and Information Security Directive), som ble vedtatt i 2016 og trådte i kraft i 2018. Formålet med NIS2 er å styrke cybersikkerheten og beskytte kritiske infrastrukturer og tjenester i EU.
Hva er NIS2?
NIS2-direktivet regulerer bedrifter og myndigheter på cyber- og informasjonssikkerhetsområdet, og lovgivningen krever at det iverksettes tekniske, operasjonelle og organisatoriske tiltak for å håndtere risikoen som truer systemene.
Det nye NIS2-direktivet er en viktig milepæl i EUs arbeid med å beskytte kritisk infrastruktur, og det gir seg til kjenne gjennom nasjonale forskrifter som organisasjoner må overholde. Sammenlignet med det opprinnelige direktivet innebærer NIS2 en rekke forbedringer og oppdateringer, blant annet:
- Utvidet virkeområde: NIS2 omfatter et bredere spekter av sektorer og tjenester, for eksempel matproduksjon og avfallshåndtering, samt hele forsyningskjeden i de omfattede sektorene.
- Forbedret tilsyn og håndhevelse: NIS2 inneholder forbedrede krav til tilsyn og håndhevelse av cybersikkerhetsreglene, noe som gir organisasjonene større ansvar for å sikre etterlevelse. I Norge er det Justis- og beredskapsdepartementet sitt ansvar å føre tilsyn med NIS-loven.
- Økte krav til sikkerhetstiltak: NIS2 stiller økte krav til risikostyring og implementering av skadeforebyggende og -begrensende tiltak som reduserer risiko og konsekvenser.
Gjennom å forstå hva NIS2-direktivet er og hvordan det påvirker organisasjonen din, kan du oppfylle de økte kravene og unngå bøter - og ikke minst minimere risikoen for cyberangrep.
Hvem omfattes av NIS2?
I NIS2-direktivet skilles det mellom "essensielle enheter" og "viktige enheter", og følgende sektorer omfattes av direktivet:
Essensielle sektorer:
- Energi
- Transport
- Finans
- Helse
- Drikke- og avløpsvann
- Digital infrastruktur
- Offentlig administrasjon
- Luft- og romfart
Viktige sektorer:
- Post- og pakketjenester
- Avfallshåndtering
- Kjemiske produkter
- Mat og drikke
- Legemidler, elektronikk, optisk utstyr, maskiner og kjøretøy
- Leverandører av nettbaserte markedsplasser, søkemotorer og sosiale plattformer
NIS2-direktivet anerkjenner også viktigheten av å beskytte hele leverandørkjeden mot cybertrusler. Selv om direktivet først og fremst retter seg mot essensielle og viktige enheter, inneholder det også bestemmelser som tar hensyn til cyberrisiko i leverandørkjeden.
Selv om direktivet ikke direkte krever at alle organisasjoner i leverandørkjeden skal overholde de samme kravene som de primært berørte enhetene, skaper det en dominoeffekt hvor større organisasjoner stiller sikkerhetskrav til sine leverandører og partnere, slik at mange flere enn de ovennevnte blir berørt av NIS2-direktivet.
LES OGSÅ: Forstå hovedprinsippene i informasjonssikkerhet
Hva betyr NIS2 for din organisasjon?
NIS2-direktivet stiller krav til styring, risikostyring, sikkerhetstiltak, driftskontinuitet og rapportering til myndighetene. Alt med sikte på å forbedre cybersikkerheten og beskytte organisasjonens nettverk og informasjonssystemer.
Blant de viktigste kravene i direktivet er:
1) Ledelsens ansvar
Organisasjonens ledelse må være kjent med kravene i direktivet og organisasjonens risikostyringsarbeid. Det vil være et direkte ledelsesansvar å identifisere og håndtere cyberrisikoer og sikre at kravene i NIS2-direktivet overholdes.
2) Risikoanalyse og risikohåndtering
Organisasjoner som omfattes av NIS2-direktivet må gjennomføre en risikoanalyse og identifisere og vurdere alle vesentlige risikoer knyttet til sårbarheter og trusler. Deretter må det iverksettes egnede sikkerhetstiltak.
3) Sikkerhetstiltak
Berørte organisasjoner må iverksette egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte nettverkene sine og informasjonssystemer mot en mulig cyberrisiko. Dette kan omfatte oppdatering av programvare og maskinvare, bruk av kryptering, styrking av tilgangskontroller og regelmessige sikkerhetsrevisjoner.
4) Kontinuitet i virksomheten
Organisasjonen må vurdere - og ha en plan for - hvordan den skal sikre kontinuitet i virksomheten i tilfelle en cybersikkerhetshendelse. Dette inkluderer nødprosedyrer og etablering av en kriseorganisasjon.
5) Rapportering
NIS2-direktivet krever at berørte organisasjoner rapporterer om cybersikkerhetshendelser som har en betydelig innvirkning på kontinuiteten i tjenestene de leverer. Det betyr at det må etableres prosesser for hvordan man skal rapportere i tide og innenfor rammene.
Hvis ovennevnte hendelser skulle skje, skal det rapporteres så snart som mulig - og senest innen 24 timer. Virksomheten skal blant annet oppgi informasjon om:
- antall brukere som er berørt av hendelsen
- årsaken til og varigheten av hendelsen
- det berørte geografiske området, inkludert andre EU-land
- håndteringen av hendelsen
- Når hendelsen rapporteres på Virk, sendes den automatisk til både Justis- og beredskapsdepartementet og Nasjonalt cybersikkerhetssenter
6) Leverandørkjeden
I henhold til NIS2-direktivet skal omfattede virksomheter også ta hensyn til sikkerheten i leverandørkjeden. Det betyr at du må vurdere og håndtere risikoen knyttet til dine leverandører og andre partnere i leverandørkjeden.
I praksis oppfordrer NIS2 organisasjoner til å iverksette egnede sikkerhetstiltak og overvåke leverandørkjeden for å minimere risikoen for cyberangrep. Dette kan blant annet gjøres ved å kreve at leverandørene overholder bestemte sikkerhetsstandarder, gjennomføre regelmessige sikkerhetsrevisjoner og kreve at leverandørene rapporterer eventuelle cybersikkerhetshendelser.
Når trer NIS2 i kraft?
Den 27. desember 2022 ble den endelige teksten til NIS2-direktivet publisert, og nedtellingen til implementeringen begynte.
Direktivet skal være implementert i norsk lov innen den 24. oktober 2024, og selv om det på papiret er lang tid, kan det kreve relativt store endringer og ressurser for å oppfylle kravene, så det er en god idé for alle berørte organisasjoner å komme i gang allerede nå.
Det finnes en rekke eksisterende rammeverk, sertifiseringer og lignende som kan hjelpe organisasjonene på vei - blant annet ISO 27001-standarden - og det kan også være en god idé å få inn ekstern rådgivning om implementeringen.
