NIS2-direktivet og endringene du må vite om innen 2024

I den stadig mer digitaliserte verden er cybersikkerhet av avgjørende betydning. EU har innført nye retningslinjer, kalt NIS2-direktivet, som vil påvirke virksomheter innen ulike samfunnskritiske sektorer som energi, transport, helse og offentlig forvaltning. Dette direktivet setter krav til krypteringsteknologi, autentisering, risikovurderinger og varsling, og det må være implementert av alle berørte virksomheter innen 18.oktober 2024. La oss utforske hva NIS2 innebærer og hvordan det vil påvirke din virksomhet.

Hvordan påvirker NIS2 deg?

NIS2-direktivet omfattes av samfunnskritiske tjenester, klassifisert etter størrelse og sektor. Disse tjenestene deles inn i to sektorer, vesentlige og viktige:

• Vesentlige sektorer inkluderer områder som energi, transport, bankvirksomhet, drikkevannsforsyning, helse, digital infrastruktur og offentlig forvaltning.
• Viktige sektorer omfatter områder som online markedssteder, skytjenester og søkemotorer, avfallshåndtering, matproduksjon, prosessering og distribuering, samt posttjenester.

Selv om NIS2-regelverket ennå ikke er blitt vedtatt i Norge, kan det likevel utøve en indirekte påvirkning på de som tilbyr tjenester i de overnevnte sektorene i det europeiske markedet. Dette innebærer at NIS2-direktivet allerede nå vil ha betydelig relevans for norske bedrifter, og dens innvirkning kan bli enda større hvis det blir inkludert i EØS-avtalen og resulterer i oppdateringer i nasjonal lov.

Manglende overholdelse av NIS2-direktivet kan medføre bøter for vesentlige tjenestetilbydere på opptil 10 millioner euro eller 2% av global omsetning, mens viktige tjenestetilbydere kan ilegges bøter på 7 millioner euro eller 1,4% av global omsetning.

NIS2 – fra krav til handling  

Nå som du forstår hvordan NIS2 vil påvirke din virksomhet, er det på tide å utforske hva dette direktivet faktisk innebærer. NIS2 består av to hoveddeler: risikostyringstiltak og rapporteringskrav.

• Risikostyringstiltak: Disse inkluderer tekniske, operative og organisatoriske tiltak som må implementeres innen 18.oktober 2024. Formålet med disse tiltakene er å redusere risikoen for nettverks- og informasjonssystemer som brukes i den daglige driften av din virksomhet. Dette er en kritisk komponent for å beskytte sensitive data og forhindre sikkerhetsbrudd.
• Rapporteringskravet: NIS2 krever man varsler tilsynsmyndighetene innen 24 timer når en «signifikant» hendelse oppdages, og en hendelsesrapport skal være tilgjengelig innen 72 timer. Innen en måned må rotårsaken og en detaljert hendelsesbeskrivelse rapporteres til tilsynsmyndighetene. Dette aspektet bidrar til økt åpenhet og ansvarlighet i forbindelse med hendelser som kan true cybersikkerheten.

Ta tidlig initiativ for økt sikkerhet og konkurransefortrinn

Selv om nye direktiver kan virke overveldende, er det flere forberedende tiltak som din virksomhet kan iverksette for å være best mulig rustet for NIS2. Dette inkluderer å holde seg oppdatert på NIS2-utviklingen, identifisere kritiske ressurser, utføre grundige risikovurderinger for å identifisere sårbarheter og trusler, samt å etablere klare retningslinjer for cybersikkerhet og hendelseshåndtering.

Med tanke på retningslinjer for cybersikkerhet og hendelseshåndtering, er det viktig å merke at NIS2 legger økt vekt på ledelsens ansvar og at de kan holdes personlig ansvarlige for sikkerhetsbrudd i virksomheten. Dette gjør det enda viktigere å ta NIS2-direktivet alvorlig og sikre at du er på riktig spor for å oppfylle kravene. Still deg selv spørsmålene: i hvilken grad har ledelsesgruppen hos oss reell kontroll og styring over risikoer og sikkerhetsbrudd? Er de informert og oppdaterte på landskapet de har foran seg, slik at de kan ta riktige beslutninger? Hvis svaret er nei, vil et lurt sted å starte jobben med å forberede for NIS2 være å øke bevisstheten i ledergruppen, og se på kontroller og prosesser som sikrer deres forståelse og involvering.

Det er også verdt å merke seg at kravene og prinsippene i NIS2 allerede er inkludert i anerkjente standarder og rammeverk som ISO27001, NSMs grunnprinsipper og GDPR. Hvis du er kjent med disse standardene, er du allerede på riktig vei til å møte kravene i NIS2. For å øke sikkerhetsnivået og styrke din virksomhets posisjon på markedet, anbefaler vi likevel å komme i gang med NIS2-kravene så tidlig som mulig. Dette vil gi deg et konkurransefortrinn og bidra til å beskytte din virksomhet mot mulige trusler i den stadig mer digitale verden vi lever i.