Heller ikke mindre IT-tjenesteleverandører slipper unna NIS2

Sikkerhetslandskapet for europeiske virksomheter er i store endringer. NIS2 er EU-direktivet som strammer inn og utvider kravene til cybersikkerhet for samfunnsviktige og digitale tjenester i flere sektorer. Dette stiller høyere krav til både virksomhetene og IT-tjenesteleverandørene.

Direktivet innebærer blant annet at mange organisasjoner må iverksette sterkere sikkerhetstiltak og rapportere hendelser innenfor strenge tidsrammer. De må også sørge for at leverandørene oppfyller høye krav til informasjons- og cybersikkerhet. I dag er det stadig vanligere at bedrifter outsourcer forretningskritiske funksjoner som IT-systemer til eksterne leverandører.

Det betyr at IT-aktørene som jobber med denne typen kunder må vise at sikkerhetsarbeidet deres holder mål. Og dette gjelder spesielt for tredjepartsleverandører som MSP-er (Managed Service Providers) og IT-tjenesteleverandører.

Kundens ansvar blir også ditt ansvar 

Mindre bedrifter med under 50 ansatte er generelt unntatt fra NIS2-direktivet (med mindre den årlige omsetning overstiger 10 millioner euro). Men mens noen små MSP-er for tiden er utenfor direkte regulering, betyr kundenes behov og krav at de i praksis må opptre som om reglene gjelder. MSP-ere som ikke holder styr på de nye kravene, risikerer å miste kunder.

Dette er en viktig innsikt for norske MSP-ere fremover: Det er ikke størrelsen på bedriften som avgjør om man må ta ansvar. Det er hvem man leverer til.

En strategisk mulighet – ikke bare en compliance-byrde 

Men NIS2 innebærer ikke bare risiko – det skaper også store muligheter. Kundene vil søke etter leverandører de kan stole på og som kan håndtere de nye kravene. MSP-ere som kan vise at de jobber proaktivt med cybersikkerhet – og som tar compliance på alvor – vil skille seg ut som trygge, profesjonelle aktører.

Sikkerhet er nå forretningskritisk. MSP-ere som er i forkant bygger ikke bare beskyttelse mot risiko. De bygger fremtidens konkurransefortrinn.