Hva er NIS2? Alt du trenger å vite om EUs direktiv om cybersikkerhet

Contents

NIS2-direktivet er et EU-direktiv som styrker cybersikkerheten til europeiske medlemsstater og selskaper gjennom strengere regler. Det omfatter innføring av sikkerhetstiltak for bedre IT-beskyttelse, samt sikkerhetskontroller og raske rapporteringskanaler for cybersikkerhetshendelser. Selv om Storbritannia ikke implementerer direktivet, ettersom landet ikke lenger er bundet av EU-lovgivningen, er det lurt å kjenne til det hvis du driver virksomhet innenfor EU.

Hva er NIS2-direktivet?

EU-direktivet NIS2 har som mål å styrke motstandsdyktigheten mot cybersikkerhetstrusler i medlemsstatenes kritiske og viktige infrastrukturer. Forkortelsen NIS2 står for «Network and Information Security 2». Da det trådte i kraft 16. januar 2023, erstattet det det tidligere NIS1-direktivet, som allerede hadde ført til en endring i tilnærmingen til IT-sikkerhet.

For å sikre maksimal beskyttelse både i den private og den offentlige sektoren i EUs medlemsstater innfører det nye NIS2-direktivet mer omfattende og strengere regler for en bredere målgruppe. På denne måten skal de nye reglene sikre større cyberrobusthet og mer effektive tiltak mot cybersikkerhetstrusler og sikkerhetsbrudd. NIS2 har også som mål å sikre at kritiske institusjoner som forsyner befolkningen med livsviktige varer eller tjenester, er beskyttet mot driftsstans og forstyrrelser i tilfelle en krise.

Hovedmålet med NIS2 er å gjøre bedrifter bedre rustet mot cyberangrep og å reagere effektivt og raskt på IT-forstyrrelser. En mer enhetlig sikkerhetsstrategi i EUs medlemsstater skal derfor sikre best mulig cybersikkerhet både på nasjonalt og internasjonalt nivå i EU-området. Alle medlemsstater må gjennomføre direktivet i nasjonal lovgivning, noe som berører både store bedrifter og små og mellomstore bedrifter som omfattes av de nye reglene.

Hva endrer NIS2-direktivet?

Plikten til å gjennomføre NIS2-direktivet om styrking av cybersikkerheten (NIS2UmsuCG) medfører vidtrekkende endringer i 18 ulike sektorer. Blant annet er antallet sektorer som klassifiseres som kritiske mer enn fordoblet, og bøteleggingsreglene ved manglende overholdelse er skjerpet. I tillegg vil administrerende direktører også holdes ansvarlige.

I Tyskland, Spania, Italia og Frankrike vil for eksempel NIS2-direktivet få konsekvenser for tusenvis av bedrifter. I Tyskland vil opptil 40 000 bedrifter måtte etterkomme det nye direktivet, og i Italia vil det gjelde rundt 50 000 bedrifter. I Spania vil omtrent 25 000 bedrifter være underlagt det nye direktivet, mens over 10 000 enheter vil bli berørt i Frankrike.

Her er en oversikt over alle endringene som følger av NIS2-direktivet:

Utvidelse av omfanget av kritiske sektorer: NIS2 klassifiserer enda flere sektorer som kritiske.
Strengere straffer: Direktivet øker bøtene for brudd betydelig
Ledelsesansvar: Ledere har nå direkte ansvar for etterlevelse av cybersikkerhet.
Utvidet anvendelsesområde: NIS2-direktivet gjelder for selskaper med mer enn 50 ansatte eller en omsetning på mer enn 10 millioner euro, samt for enkelte selskaper uavhengig av størrelse.
Behov for omfattende risikoanalyser: Bedrifter har plikt til å gjennomføre grundige risikoanalyser.
Krav til risiko- og sikkerhetsstyring: Det stilles strenge krav til risikostyring og sikkerhetstiltak. Ulike beskyttelsestiltak som penetrasjonstester, maskinvarebrannmurer og sikkerhetskopieringsstrategier er obligatoriske.
Obligatorisk krisehåndtering: Det kreves raske og effektive strategier for krisehåndtering, kommunikasjonskanaler og rapporteringssystemer i tilfelle sikkerhetshendelser.
Bruk av eksisterende sikkerhetsprotokoller: Bedrifter kan bruke eksisterende sikkerhetsstandarder fra regulerte bransjer som referanse.

Hvem omfattes av NIS2-direktivet?

NIS2 skiller mellom selskaper i den utvidede «essensielle» kategorien og den «viktige» kategorien, som er helt ny. Selskaper med mer enn 50 ansatte eller en årlig omsetning på 10 millioner euro eller mer berøres direkte. I tillegg kan selskaper også omfattes av NIS2 uavhengig av størrelse dersom deres svikt medfører systemrisiko. Kategorien «essensielle» omfatter selskaper fra elleve sektorer, herunder særlig selskaper med kritisk infrastruktur som er avgjørende for myndighetene og samfunnet. Kategorien «viktige» gjelder på sin side syv sektorer som er systemviktige.

Viktige sektorer og selskaper

Energi
Vannforsyning
Transport
Bank
Infrastruktur for finansmarkedet
Helse
Romfart
Avløp
Offentlig forvaltning
Digital infrastruktur
IKT-tjenestestyring (B2B)

Viktige sektorer og selskaper

Post- og budtjenester
Avfall
Kjemisk industri
Matforsyning
Leverandører av digitale tjenester
Industri (foredling/produksjon)
Forskning (valgfritt)

Hvilke forpliktelser gjelder for selskaper?

Som en del av NIS2 er bedrifter underlagt strenge forpliktelser og betydelige endringer. Disse omfatter:

Forpliktelser	Tiltak
Risikostyring og kontinuitetsplanlegging (§30, 31)	Kryptering, multifaktorautentisering, kryptografi, cyberhygiene, rollefordeling og tilgangskontroll, sikkerhetskopiering og systemgjenoppretting, sikkerhet i leverandørkjeden og risikoanalyser er obligatorisk. Minimumskravene varierer avhengig av selskapets størrelse på grunn av «størrelsesgrensen».
Rapporterings- og varslingsplikt (§32, 35)	Vesentlige sikkerhetshendelser må rapporteres til myndighetene innen 24 timer. Innledende vurderinger må være tilgjengelige etter 72 timer. En detaljert sluttrapport kreves innen en måned.
Registreringsplikt (§33, 34)	Berørte organisasjoner og leverandører av domenenavnregistreringstjenester må sende inn informasjon til de ansvarlige myndighetene senest tre måneder etter at NIS2 trer i kraft. Hvis registreringsplikten ikke oppfylles, kan den også oppfylles av et CSIRT (Computer Security Incident Response Team).
Godkjennings-, overvåkings- og opplæringsplikt for administrerende direktører (§38)	Det er ikke lenger tilstrekkelig at ledelsen delegerer sikkerhetstiltak. Ledelsen må aktivt godkjenne nødvendige tiltak og er delvis forpliktet til å tilby opplæring.
Tilsyns- og håndhevingstiltak (§61, 62)	Det forventes at et av CSIRT-ene skal fungere som tilsynsmyndighet for overholdelse av de påkrevde tiltakene. Tilsynsmyndigheten har tidligst tre år etter at NIS2 trer i kraft mulighet til å be om bevis på at forpliktelsene er oppfylt. Tiltak kan pålegges i tilfelle overhengende fare.

For å oppfylle dine forpliktelser som berørt selskap på et tidlig stadium, bør du iverksette følgende tiltak:

Analyse av nåværende situasjon og mål: Sjekk om du er omfattet av NIS2-forpliktelsene, og kartlegg status for bedriftens cybersikkerhet samt potensielle forbedringsområder.
Implementering: Det må innføres risikoanalyse og sikkerhetskonsepter for alle informasjonssystemer.
Evaluering: Effektiviteten av selskapets egne risikostyringsmetoder bør gjennomgås regelmessig.
Opprettelse: Det er obligatorisk å utvikle et konsept for håndtering av sikkerhetshendelser.
Sikkerhetskopiering og krisehåndtering: Tiltak for sikkerhetskopiering av data og krisehåndtering må implementeres.
Rapporteringssystem: Det bør etableres et effektivt rapporteringssystem for sikkerhetshendelser.
Opplæring: Ansatte må få regelmessig opplæring.
Sikkerhet i forsyningskjeden: Sikkerheten i forsyningskjeden må sikres.

Hva skjer hvis NIS2 ikke blir implementert?

Bedrifter som ikke iverksetter de foreskrevne tiltakene, kan forvente å bli ilagt betydelige bøter (§ 65). I henhold til NIS2 har tilsynsmyndighetene omfattende tilsyns-, kontroll- og instruksjonsmyndighet, herunder rett til å håndheve frister. I tillegg påtar administrerende direktører seg et betydelig større ansvar for beskyttelses- og sikkerhetstiltak og kan holdes personlig ansvarlige ved brudd eller uaktsomhet (§ 38, § 61).

Når trer NIS2-direktivet i kraft?

Den 14. desember 2022 vedtok Europaparlamentet og Rådet direktiv (EU) 2022/2555, kjent som NIS2-direktivet. Det innfører omfattende endringer i eIDAS-forordningen (EU) nr. 910/2014 og EECC-direktivet (EU) 2018/1972. Det trådte offisielt i kraft 16. januar 2023 og erstattet NIS-direktivet. Det må gjennomføres i nasjonal lovgivning av alle EU-medlemsland innen 17. oktober 2024.

I ulike land er det forskjellige myndigheter som har ansvaret for å lede gjennomføringen av direktivet. I Frankrike er det for eksempel ANSSI (det nasjonale byrået for informasjonssikkerhet) som leder gjennomføringsarbeidet, og de har til og med lansert «Mon Espace NIS 2», en digital tjeneste som skal hjelpe organisasjoner med å gjennomføre direktivet. BSI (Forbundskontoret for informasjonssikkerhet) er den ansvarlige myndigheten i Tyskland, og i Spania overvåker CCN-CERT (Det nasjonale kryptologiske senteret) cybersikkerhetstiltak og sikrer etterlevelse.

Hva er endepunktsikkerhet? Slik beskytter du enhetene dine

Bedriftsnettverk bør være svært sikre, men på grunn av de mange endepunktene og mobile enhetene oppstår det av og til en rekke uventede sikkerhetshull. Endepunktsikkerhet tilbyr både tekniske løsninger og rutiner for sikkerhetsadministrasjon for å håndtere disse sårbarhetene. Vi…

Hva er skimming-svindel, og hvordan kan du beskytte deg?

Skimming skjer når kriminelle manipulerer minibanker for å lese informasjon fra kreditt- eller debetkort som er satt inn i dem. Selv om sikkerheten er blitt betydelig forbedret, utgjør denne typen svindel en reell fare når man tar ut penger og foretar betalinger. Heldigvis finnes…

Hva er «tailgating», og hvordan kan du beskytte bedriften din?

Selv om mange bedrifter fokuserer på å beskytte seg mot digitale angrep, er det viktig å ikke undervurdere betydningen av fysisk sikkerhet. «Tailgating» er en slik trussel. Selv om denne metoden ikke er basert på den nyeste teknologien, utgjør den likevel en betydelig fare. Vi…