NIS2-direktivet – hva innebærer det for deg?

NIS2-direktivet trådte i kraft 16. januar 2023 og erstatter NIS-direktivet fra 2016. Kort sagt, vil NIS2 utvide virkeområdet til sin forgjenger ved å inkludere virksomheter fra flere sektorer og tjenester som anses som samfunnskritiske.

Tanken bak NIS2 er å iverksette tilstrekkelige og omfattende sikkerhetstiltak i nettverk og informasjonssystemer, både for private og offentlige sektororganisasjoner, inkludert små og mellomstore bedrifter og aktører, i relevante sektorer i EU.

Sluttmålet er nøkkelen – ved å etablere denne felles forståelsen og metodikken for å jobbe med cybersikkerhet, legger NIS2 til rette for samarbeid på tvers av sektorer og land. Dette vil sikre at organisasjoner er bedre forberedt på det som har blitt et stadig mer komplekst og uklart trussellandskap.

Rammer som NIS2 forbedrer vår kollektive bevissthet og motstandsdyktighet, og sikrer en felles forståelse av informasjonssikkerhet på tvers av sektorer og land.

Omfattes din virksomhet?

Her er noen av våre råd:

• Ha en klar ansvarsstruktur for informasjonssikkerhet (inkludert økt ledelsesansvar)

• Identifiser og vurder risikoer for informasjonssikkerhet

• Iverksett sikkerhetskontroller og tiltak for å håndtere identifiserte risikoer

• Iverksett prosedyrer for håndtering av sikkerhetsbrudd, inkludert rapportering til myndigheter og berørte parter (det anbefales at organisasjoner samarbeider tett med nasjonale sikkerhetsmyndigheter for å håndtere cybertrusler) innen 24 timer

• Sørg for at rutiner er på plass for detaljerte beskrivelser av et sikkerhetsbrudd innen 72 timer etter at bruddet er oppdaget

• Gjennomfør jevnlige revisjoner og tester (beredskapsplaner / øvelser)

• Sørg for tilstrekkelig opplæring og bevissthet om cybersikkerhet hos ansatte

• Sørg for at leverandører og partnere har tilstrekkelig informasjonssikkerhet i sine systemer og prosesser (sikkerhet i forsyningskjeden er veldig viktig)

• Overvåk og rapporter uønskede hendelser til myndighetene

• Samarbeid med myndigheter og andre relevante parter om informasjonssikkerhet

• Oppfyll sektorspesifikke krav til informasjonssikkerhet, avhengig av bransjene og sektorene organisasjonen opererer innenfor.

Her hjemme er Nasjonale Sikkerhetsmyndigheter (NSM) primært ansvarlige og vil ha tilsyn med NIS2 på nasjonalt nivå. De kan ilegge bøter eller sanksjoner mot organisasjoner som ikke overholder kravene i direktivet. Arbeidet med å håndheve direktivene kan også delegeres til andre organer, som nasjonale CERTer.

Hvem dekkes av NIS2?

"Cybertrusler blir stadig mer dristige og komplekse. Det var derfor avgjørende å tilpasse sikkerhetsrammene våre til de nye realitetene og sikre at borgere og infrastruktur blir beskyttet," uttalte kommissær for det indre marked, Thierry Breton i Kommisjonens pressemelding.

Omfattes din organisasjon av NIS2? Hvordan imøtekommer du kravene?

NIS2-direktivet vil omfatte leverandører av samfunnsviktige tjenester basert på størrelse, innvirkning og sektor. I direktivet deles virksomhetene inn i to tjenestekategorier:

• «Essensielle» tjenester inkluderer sektorer som energi, transport, bank og helse, offentlig forvaltning og digital infrastruktur

• «Viktige» tjenester inkluderer sektorer som online markedssteder, skytjenester og søkemotorer, avfallshåndtering, matproduksjon, prosessering og distribusjon og post og kurertjeneste

Myndighetene vil overvåke og føre tilsyn med virksomhetene for å sikre samsvar, og manglende overholdelse kan føre til bøter på opptil 10 millioner euro eller 2 prosent av global omsetning, avhengig av kategorisering. Hvis en virksomhet har mer enn 250 ansatte og en omsetning på over 50 millioner euro, defineres den som «betydelig». Virksomheter med 5-250 ansatte og omsetning fra 10 millioner euro defineres som «viktig». I tilfelle alvorlige brudd av «betydelige» virksomheter, kan enkeltpersoner utestenges fra ledelsesposisjoner, og sertifikater og autorisasjoner tilbakekalles, i tillegg til nevnte bøter.

En konsekvens av at tilbydere deles inn i disse to ulike kategoriene, er at de også vil underlegges forskjellige tilsynsregimer. Normalt vil det være ansvaret til Direktoratet for Samfunnssikkerhet og Beredskap (DSB) å håndheve disse forskriftene.

Hvis du allerede har iverksatt NIS-direktivet, må alle endringer i NIS2 implementeres innen 17. oktober 2024. Samme frist gjelder for alle nye organisasjoner som omfattes av NIS2-direktivet.

Hva betyr NIS2 for din virksomhet?

Berørte virksomheter må overholde alle kravene i direktivet, inkludert krav til risikovurdering, kryptering, autentisering, rapportering av sikkerhetshendelser og samarbeid med myndighetene. Det er viktig å merke seg at kravene vil variere avhengig av virksomhetens størrelse og tjenester som tilbys.

Mange av kravene og prinsippene er allerede inkludert i Sikkerhetsloven og GDPR (personvernforordningen). I tillegg er anerkjente standarder og rammeverk nyttige verktøy for styring og ledelse av informasjonssikkerhet, som ISO/IEC 27001, NIST Cybersecurity Framework og CIS Controls.

Også flere essensielle tjenester er basert på et produksjons- eller distribusjonssystem. I slike tilfeller gir standarder som IEC 62443 eller NIST SP800-82 samme nivå av veiledning.

Det er åpenbart at overholdelse av NIS2-kravene vil bidra til å øke sikkerhetsnivået og beskytte norske virksomheter mer effektivt i det stadig komplekse trussellandskapet. I tillegg til at markedsposisjonen beskyttes kan overholdelse også bidra til økte forretningsmuligheter. Vi anbefaler derfor at virksomheter starter arbeidet med NIS2-overholdelse så tidlig som mulig. Tross alt må en være i samsvar allerede høsten 2024.

Hvilke tiltak må til?

Vi har valgt å oppsummere våre anbefalinger til hva norske virksomheter bør gjøre for å imøtekomme NIS2-kravene i følgende 10-punktsliste:

1. Gjennomfør en vurdering av virksomhetens viktigste tjenester og infrastruktur

2. Utvikle en handlingsplan basert på risikovurdering. Handlingsplanen bør beskrive tiltakene som må tas for å håndtere identifiserte risikoer.

3. Etabler et informasjonssikkerhetsstyringssystem. Systemet bør sikre at organisasjonen har kontroll over alle sikkerhetsrelaterte aspekter ved virksomheten.

4. Iverksett tekniske sikkerhetstiltak som brannmurer, antivirusprogramvare, kryptering og tilgangskontroll. Dette vil bidra til å beskytte organisasjonens it-infrastruktur og sensitive data.

5. Innfør sikkerhetsopplæring for alle ansatte. Dette vil øke bevisstheten om cybersikkerhet og redusere risikoen for at ansatte gjør feil som kan føre til sikkerhetsbrudd.

6. Etabler og øv på krise- og beredskapsplaner.

7. Gjennomfør jevnlige gjennomganger og testing av sikkerhetstiltak for å sikre at de fungerer som tiltenkt. Dette vil hjelpe med å identifisere eventuelle svakheter i sikkerhetssystemet.

8. Sørg for å ha tilstrekkelig antall ressurser og ekspertise på plass for å iverksette og opprettholde styringssystemet.

9. Gjennomfør risikovurderinger for å identifisere trusler og risikoer og oppdatere sikkerhetstiltak deretter.

10. Etabler kontakt og samarbeid med relevante myndigheter.

Alt i alt er NIS2-direktivet en flott ramme for å redusere risiko og styrke virksomhetens cybersikkerhet.

Renate Thoreid, Cybersecurity Specialist, Watchcom

Espen Rahd, Senior Information Security Consultant, Watchcom

Lars Westerdahl, Infrastructure Security Analyst, Combitech