Forstå NIS2-direktivet: Nye sikkerhetskrav for din virksomhet
NIS2-direktivet representerer en oppdatering av tidligere regelverk og utvider virkeområdet og sikkerhetskravene betydelig. Dette inkluderer forbedret risikostyring, grundigere hendelseshåndtering og mer detaljert rapportering. Direktivet innfører også strengere regler for tilsyn og mulige sanksjoner. For å møte disse nye og strengere kravene, er det viktig at virksomheter vurderer sin nåværende sikkerhetspraksis og gjør nødvendige tilpasninger før regelverket trer i kraft i oktober 2024.
Hva er NIS2?
Det europeiske NIS (Network and Information Security)-direktivet er et regelverk med formål om å beskytte kritiske tjenester og sikre et sterkt digitalt forsvar på tvers av alle medlemslandene i EU/EØS.
Direktivet stiller en rekke krav på flere nivåer; både til virksomheter, til medlemslandene og til samarbeidsnettverk på tvers av medlemslandene. Gjennom felles kravstilling til sikkerhet og økt samarbeid styrkes vår felles evne til å håndtere cybersikkerhetsrisikoer og -hendelser.
NIS2 direktivet er en oppdatering og utvidelse av det gjeldende NIS1-direktivet fra 2018. I Norge trer det nye direktivet i kraft i oktober 2024. Mer informasjon om status på innføringen av NIS2-direktivet i Norge finner du på regjeringens nettsider.
Du kan også lese mer om NIS2 direktivet på Europakommisjonens offisielle nettside: NIS2 Directive - FAQs
Hvilke virksomheter blir omfattet av regelverket?
NIS2 stiller krav til offentlige og private virksomheter innen betydelig flere områder enn tidligere. Formålet med å utvide direktivets virkeområde er å sikre et tryggere og sterkere Europa.
Som hovedregel gjelder NIS2 for mellomstore og store virksomheter i "vesentlige" eller "viktige" sektorer. I tillegg er NIS2 gjeldende for blant annet virksomheter som vurderes som samfunnskritiske, uavhengig av virksomhetens størrelse.
Følgende sektorer definerer av direktivet som "vesentlige" eller "viktige":
Kravene fra NIS2 gjelder aktører innen begge kategoriene, men tilsyn og sanksjoner vil håndteres noe forskjellig avhengig av hvilken kategori virksomheten tilhører.
Hvilke krav stiller NIS2 til virksomhetene?
NIS2 stiller krav om at virksomheter innfører hensiktsmessige tekniske, operasjonelle og organisatoriske tiltak for å kunne håndtere risikoer og eventuelle cyberhendelser. Tiltak innen blant annet følgende temaer skal vurderes og iverksettes av virksomhetene:
Tilsyn og sanksjoner
Det nye direktivet setter føringer for økt tilsyn med potensielt høye bøter for manglende etterlevelse. Ved brudd på kravene om risikoreduserende tiltak og varslingsplikten kan boten utgjøre opp til € 10 millioner eller 2% av den totale globale årlige omsetningen for vesentlige virksomheter. For viktige virksomheter er den tilsvarende boten opptil € 7 millioner eller 1,4% av den totale globale årlige omsetningen.
Veien videre
Vi anbefaler at virksomhetene tar stilling til om de omfattes av kravene i NIS2-direktivet, samt etablerer og gjennomfører planer for nødvendige tiltak for å møte disse kravene. For å lykkes i dette arbeidet er det viktig at virksomheten har ressurser med tilstrekkelig kapasitet og kompetanse.
Dersom din virksomhet trenger støtte i dette arbeidet, bistår vi gjerne med vår kompetanse. XLENT Cyber Security har erfaring fra NIS2-kartlegging og gjennomføring sikkerhetstiltak for globale virksomheter, og vi tilbyr skreddersydde tjenester for å hjelpe virksomheter med NIS2-arbeidet.
Vi kan blant annet levere følgende relevante tjenester:
- Gap-analyse for a kartlegge virksomhetens status opp mot kravene i NIS2
- Risikovurdering og -styring
- Sikkerhetstiltak for systemer og nettverk
- Sikkerhetstester
- Cybersikkerhet i leverandørkjeden
- Sikkerhetsopplæring og bevissthetstrening
- Hendelseshåndtering
- Rutiner for rapportering til myndigheter
Les mer om XLENT Cyber Security her: Cyber Security (xlent.no)
Skrevet av Maja Otvik
Kontakt
