NIS2 - Hva er det og hvordan påvirker det din organisasjon?

22 februar 2024 / Artikkel

Med digitaliseringen har mange av samfunnets funksjoner blitt helt eller delvis avhengige av ulike IT-løsninger. Parallelt med økt digitalisering har også samfunnet blitt mer sårbart for cybertrusler. EU ønsker å heve det felles cybersikkerhetsnivået innen medlemslandene, og 18. oktober i år trer NS2 i kraft. Det nye NIS2-direktivet innebærer en ytterligere harmonisering og styrking av tiltak for økt cybersikkerhet i hele EU.

Men hva er egentlig NIS2, og hvordan påvirker det norske virksomheter? I denne artikkelen får du bakgrunnen for NIS-direktivet og svar på noen av de vanligste spørsmålene knyttet til NIS2.   

Hva er NIS2-direktivet? 

NIS står for "Network and Information Security Directive" og er et europeisk direktiv som har som mål å heve det felles nivået på cybersikkerhet i EU. NIS2 er etterfølgeren til det opprinnelige NIS-direktivet og er enda mer omfattende. Bakgrunnen for revisjonen av direktivet er at EU-kommisjonen har identifisert en rekke mangler i EUs felles sikkerhet: 

  • Utilstrekkelig motstandsdyktighet mot cybertrusler i organisasjoner som opererer i EU 
  • Store forskjeller mellom medlemsstater og sektorer 
  • Utilstrekkelig felles forståelse av de viktigste truslene og utfordringene blant medlemsstatene 
  • Mangel på felles krisehåndtering 

Økende cybertrusler utgjør en alvorlig risiko for samfunnet vårt. Skadene som forårsakes av disse truslene kan spre seg gjennom sårbare leveranadørkjeder og kritisk infrastruktur. Og dette kan skape kaos i samfunnet, økonomien og næringslivet. Det er derfor behov for beskyttelse på et nytt og enda mer harmonisert nivå.

Hva er formålet med NIS2-direktivet? 

Målet er å skape robusthet i det digitaliserte samfunnets funksjoner ved å skjerpe og harmonisere sikkerhetskravene for de aktivitetene som omfattes.

NIS2 skal sikre:

  • et konsistent utvalg av relevante sektorer i hele EU 
  • enhetlige sikkerhetskrav 
  • harmonisert håndtering av større cyberhendelser 

Hvordan påvirker NIS2 norske virksomheter 

Siden Norge er et EØS-land, må NIS2 først behandles og godkjennes i Stortinget for å kunne tre i kraft som lov i Norge. Det er Samfunnssikkerhetsavdelingen i Justisdepartementet (SAM) som er ansvarlig for å fremlegge NIS2 for behandling i Stortinget. Det er foreløpig uklart når det vil skje. I mellomtiden må visse norske bedrifter likevel, innen 18. oktober 2024, forberede seg på å kunne dokumentere etterlevelse av NIS2 sine krav, men da av kommersielle grunner. 

NIS2 adresserer i stor grad sikkerhetsrisikoen knyttet til leverandører av tjenester, produkter og kritisk infrastruktur, uavhengig av om disse er lokalisert innenfor eller utenfor EU. EU-bedrifter som omfattes av NIS2, og som har transaksjoner med bedrifter utenfor EU (for eksempel i Norge), plikter å påse at leverandørene også innfrir NIS2 kravene til risikostyringstiltak for cybersikkerhet for at de selv skal være compliant etter NIS2.  

Det betyr at for norske virksomheter som har leverandørrelasjoner til EU-bedrifter som omfattes av NIS2, kan det bli nødvendig å etablere og dokumentere et hensiktsmessig regime for risikostyringstiltak for cybersikkerhet iht. NIS2 kravene. 

Hvordan skiller NIS2 seg fra det opprinnelige NIS-direktivet? 

NIS2 tar for seg mangler som ble identifisert i det opprinnelige NIS-direktivet, og er derfor mer omfattende. NIS2 inneholder blant annet følgende endringer og tillegg: 

  • Flere sektorer er dekket 
  • Bedriftsledelsen holdes personlig ansvarlig for å sikre virksomheten 
  • Hendelsesrapportering må nå skje innen 24 timer i stedet for 72 timer som tidligere 
  • Strengere krav til sikkerhet og rapportering 
  • Økt fokus på sikring av leverandørkjeder og leverandører 
  • Straffesystemet er harmonisert mellom medlemsstatene 

Når skal NIS2-direktivet være implementert? 

EU-landene er pålagt å vedta NIS2 i nasjonal lovgivning innen 17. oktober 2024 med virkning dagen etter. 

Hva betyr NIS2 for min virksomhet? 

  • Tilsyn, håndhevelse og sanksjoner 

I likhet med GDPR er det mulig å ilegge organisasjoner bøter for manglende overholdelse. En organisasjon kan potensielt ilegges bøter på opptil 10 millioner euro eller 2 % av den årlige globale omsetningen.

  • Ledelsens engasjement 

Det legges større vekt på ledelsens innsikt i forebygging og håndtering av cyberhendelser, både nasjonalt og internt i en organisasjon. Dette betyr at medlemmer av en organisasjons ledelse kan holdes direkte og personlig ansvarlig for sikkerhetsbrudd i henhold til NIS2-direktivet. NIS2 krever at ledelsen overvåker, godkjenner og får opplæring i håndtering av informasjonssikkerhetsrisikoer og sikkerhetstiltak. Brudd kan føre til sanksjoner for ledelsen, inkludert erstatningsansvar og en potensiell midlertidig suspensjon fra å utøve sin rolle. 

  • Risikostyring og sikkerhetstiltak 

Sikkerhetstiltak basert på risikovurderinger blir strengere, og gjennomføring av risikoanalyser er og blir en viktig del av håndteringen av cyberrisiko.

  • Varslingsplikt 

Det stilles enhetlige krav til tidspunkt og mottaker for rapportering av en cyberhendelse. Hendelsen skal rapporteres til tilsynsmyndigheten innen 24 timer hvis den anses som kritisk. En rapport som oppsummerer hendelsen, inkludert hvordan den ble håndtert, skal leveres innen 72 timer. Til slutt skal det leveres en sluttrapport innen én måned. Nasjonens sikkerhetsmyndighet kan også tvinge den berørte virksomheten til å informere offentligheten om hendelsen eller til å gi en offentlig uttalelse om dette. 

Hvilke sektorer og selskaper omfattes av NIS2-direktivet? 

NIS2 har ulike kriterier for å avgjøre hvilke virksomheter i EU som omfattes av direktivet. Noe forenklet kan man oppsummere kriteriene slik som dette:

  • Størrelse på virksomheten
  • Virksomhetens innvirkning på samfunnsfunksjoner

Størrelse

Private eller offentlige virksomheter i EU som har mer enn 250 ansatte og en årsomsetning over 50 millioner euro eller en totalbalanse som overstiger 43 millioner euro per år.

Samfunnsfunksjoner

NIS2 lister opp en rekke sektorer og delsektorer som er omfattet av direktivet, hvorav noen også er omfattet uavhengig av størrelse. Sektorene som omfattes er de som på ulike måter utfører en viktig funksjon innenfor sine respektive sektorer.

Sektorer som omfattes er:

  • Energi
    • Elektrisitet
    • Fjernvarme eller fjernkjøling
    • Olje
    • Gass
    • Hydrogengass
  • Transport
    • Flytransport
    • Jernbanetransport
    • Sjøtransport
    • Veitransport
  • Bankvirksomhet
  • Infrastruktur i finansmarkedet
  • Helse- og omsorgssektoren
  • Drikkevann
  • Avløpsvann
  • Digital infrastruktur
  • Forvaltning av IKT-tjenester (mellom selskaper)
  • Offentlig forvaltning
  • Romfart
  • Post- og budtjenester
  • Avfallshåndtering
  • Produksjon og distribusjon av kjemikalier
  • Produksjon, bearbeiding og distribusjon av matvarer
  • Produksjon
    • Produksjon av medisinsk utstyr og medisinsk utstyr til in-vitro diagnostikk
    • Produksjon av datamaskiner, elektroniske og optiske produkter
    • Produksjon av elektrisk utstyr
    • Produksjon av andre maskiner
    • Produksjon av motorkjøretøyer, tilhengere og semitrailere
    • Produksjon av annet transportutstyr
  • Digitale leverandører
  • Forskning og utvikling

Kan en virksomhet være indirekte omfattet av NIS2? 

Ja, det kan den. Dette gjelder når en virksomhet leverer kritiske tjenester eller leverer til betydelige eller viktige virksomheter. Med andre ord hvis du er underleverandør til en organisasjon som er omfattet av NIS2. 

Norske organisasjoner som har leverandørrelasjoner med EU-baserte virksomheter bør kontakte disse for å avklare om, og i hvilket omfang, den norske organisasjonen bør forberede seg på NIS2-kravene.  

Vil du vite mer om hva NIS2 betyr for din organisasjon og hvordan du best kan forberede deg?

 

Meld deg på webinaret vårt 6.mars her

Relatert innhold

Artikkel
Hvordan effektivisere interne prosesser ved bruk av Generativ AI?
arrow_forward
Artikkel
10 sikkerhetstiltak for å øke robusthet i ditt IT-miljø
arrow_forward
Artikkel
Hvilke trusler står Norge og norske virksomheter ovenfor i 2024?
arrow_forward
translate
Informasjonskapsler Om personopplysninger
©2021 Iver AB. All rights reserved.