I takt med at samfunnet vårt digitaliseres og blir stadig mer online, øker risikoen for cyberangrep og andre sikkerhetstrusler mot bedrifter og myndigheter. For å møte disse utfordringene og styrke den digitale sikkerheten har EU besluttet å skjerpe det tidligere NIS1-direktivet, som har som mål å styrke sikkerheten innen kritisk infrastruktur og samfunnsviktige tjenester.

 

Hva innebærer NIS2 for norske bedrifter, og hvordan påvirker det sikkerhetsbransjen og aktører som RCO Security?

 

Hva er NIS2 og hvorfor har det blitt innført?

NIS2 (Network and Information Security) er en videreutvikling av NIS1, det første EU-direktivet fra 2016 for å forbedre cybersikkerheten, beskytte sensitiv informasjon og infrastruktur innen samfunnsviktige sektorer. Med NIS2 har EU utvidet direktivets omfang og stilt høyere krav for å møte risikoen for cyberangrep og datainnbrudd. Ved å sikre robust cybersikkerhet fremmer NIS2 stabilitet, pålitelighet og tillit i det digitale økosystemet, noe som er avgjørende for myndigheter og privat sektor sin fortsatte utvikling.

 

Det er viktig å forstå at NIS2 ikke er en sertifisering av produkter – det er en lovgivning som retter seg mot virksomheter. Det innebærer at det ikke er nok å bare kjøpe inn riktig teknologi; hele organisasjonen må arbeide systematisk og strategisk med sikkerhet. NIS2 handler om å skape en sikkerhetskultur som gjennomsyrer hele virksomheten, fra ledelse til enkeltmedarbeidere.

 

Antonia Cruz Olsson, IT-chef, RCO Group.

 

Vi ønsker krav som fokuserer på å etablere god cybersikkerhet i hele virksomheten, fra teknologi, arbeidsmetoder, rapportering og oppfølging. Vi ser frem til at dette hever minimumsnivået for den digitale sikkerheten i samfunnet, og at både bedrifter og myndigheter på denne måten står godt rustet for fremtiden, sier Antonia Cruz Olsson, IT-sjef, RCO Group.

 

Hvem omfattes av NIS2-direktivet?

EU ønsker at NIS2-direktivet skal berøre flere organisasjoner enn sin forgjenger og retter seg mot både private og offentlige aktører som leverer samfunnsviktige tjenester. Dette inkluderer bedrifter innen sektorer som energi, transport, helse og omsorg, finans, digital infrastruktur samt offentlige myndigheter. NIS2 utvides også til å omfatte flere leverandører av digitale tjenester og visse produksjonsindustrier.

 

Fra NIS1 til NIS2: Viktige endringer

1. Utvidet omfang og flere sektorer: NIS1 omfattet et begrenset antall samfunnsviktige sektorer som energi, transport og helse og omsorg. NIS2 utvider dette til å omfatte flere sektorer, inkludert produksjon, digitale tjenester og leverandørkjeder.
2. Strengere krav til sikkerhet: Med NIS2 stilles høyere krav til bedriftene for å sikre beskyttelsen av sine nettverk og informasjonssystemer. Dette innebærer ikke bare tekniske tiltak, men også klare rutiner for risikohåndtering og hendelsesrapportering. Alle nivåer i organisasjonen må være involvert i sikkerhetsarbeidet.
3. Ledelsens ansvar: NIS2 understreker at ansvaret for cybersikkerhet ligger på ledelsesnivå. Det er ikke lenger bare en sak for IT-avdelingen, men en strategisk forretningssak som ledelsen må engasjere seg i. Det stilles krav til at bedriftens ledelse har innsikt i og tar ansvar for sikkerhetstiltak, noe som er en markant forskjell fra NIS1.
4. Hendelsesrapportering: En nøkkelkomponent i NIS2 er den utvidede rapporteringsplikten ved sikkerhetshendelser. Bedrifter må rapportere hendelser som påvirker tilgjengeligheten eller sikkerheten til deres systemer innen spesifikke tidsrammer, noe som krever klare prosesser for hendelseshåndtering.
5. Sikkerhet i leverandørkjeden: Direktivet stiller også krav til sikkerheten i hele leverandørkjeden. Det innebærer at bedrifter ikke bare trenger å sikre sin egen virksomhet, men også sørge for at deres leverandører og partnere oppfyller høye sikkerhetsstandarder.

 

Status og utredning av NIS2 i Norge

I Norge pågår arbeidet med å oppdatere digitalsikkerhetsloven og tilhørende forskrifter for å implementere NIS2-direktivet. Selv om direktivet ennå ikke er tatt inn i EØS-avtalen, forventes det at norsk regelverk vil bli tilpasset i løpet av 2025. Justisdepartementet har sendt forslag til ny forskrift på høring og jobber med nødvendige regelverksendringer for å møte de skjerpede kravene og det utvidede virkeområdet i NIS2.

 

Følgene av å ikke følge NIS2-direktivet

Ved siden av at man utsetter sin organisasjon for en større risiko for datainnbrudd og cyberangrep og konsekvensene av disse, er effektene av å ikke følge NIS2 både juridiske og finansielle. Størrelsen på bøtene avgjøres av hvor alvorlig overtredelsen er og størrelsen på bedriften.

 

Hva må organisasjoner gjøre allerede nå?

For å forberede seg på NIS2-direktivet bør bedrifter allerede nå handle proaktivt. Først og fremst er det viktig å finne ut om virksomheten omfattes, direkte eller indirekte, av direktivet eller cybersikkerhetsloven ved å identifisere om man opererer innen de nevnte sektorene og oppfyller øvrige kriterier. Hvis bedriften omfattes, må man analysere hvilke krav NIS2 stiller og lage en handlingsplan for å utbedre eventuelle mangler i sikkerhetsrutiner og systemer. I tillegg bør man stille klare krav til både nye og eksisterende leverandører for å sikre at hele leverandørkjeden oppfyller direktivets sikkerhetskrav. Ved å forberede seg i god tid kan bedrifter unngå potensielle sanksjoner og minimere sikkerhetsrisikoer i en stadig mer digitalisert verden.

 

Sammendrag

NIS2 representerer et skifte i hvordan bedrifter må arbeide med sikkerhet. Det er ikke en sertifisering av produkter, men en lovgivning som påvirker hele virksomheten og krever en helhetlig tilnærming til sikkerhetsspørsmål. For RCO Security og våre kunder innebærer dette at sikkerhet skal være integrert i alt vi gjør, fra produktutvikling til daglige rutiner og prosesser.