NIS 2: Bli klar for den nye æraen av cybersikkerhet i Europa

cyber-security-adobestock_431404452.jpg

NIS2-direktivet fra EU har som mål å styrke cybersikkerheten i nettverks- og informasjonssystemer, både i private og offentlige sektorer. Det bygger på og erstatter NIS1-direktivet, men med strengere krav og et bredere omfang for å møte dagens trusler mot digital sikkerhet.

For norske selskaper vil Loven om digital sikkerhet, som trer i kraft i januar 2025, implementere kravene fra NIS1. Denne loven danner grunnlaget for cybersikkerhetsreguleringen i Norge. Når NIS2 innlemmes i EØS-avtalen, vil loven bli oppdatert for å reflektere de nye og strengere kravene i NIS2-direktivet. Med andre ord, NIS2 vil erstatte NIS1-kravene i Loven om digital sikkerhet.

Hva er NIS 2?

Direktivet NIS 2 (EU) 2022/2555, utstedt av Europaparlamentet og Rådet for EU, har som mål å opprettholde et høyt sikkerhetsnivå i nettverks- og informasjonssystemer på tvers av landene i EU.

Formål:

  • Styrke motstandsdyktigheten mot cybertrusler.
  • Harmonisere sikkerhetstiltakene i hele EU.
  • Fremme samarbeid og informasjonsutveksling mellom medlemslandene.

Les mer om hvordan en gap-analyse kan hjelpe deg med å møte kravene i NIS2.

NIS1 vs. NIS2 – Hva er nytt?
  • Flere sektorer inkludert: NIS 2-direktivet dekker nå et bredere spekter av sektorer, inkludert IKT-tjenester, post- og kurertjenester, avfallshåndtering, kjemikalieproduksjon og forskningsaktiviteter.
  • Skjerpede krav: Det innføres skjerpede krav for risikovurderinger og sikkerhetstiltak.
  • Mer presise rapporteringskrav: Klare retningslinjer for hva som må rapporteres og når. Rapportering må skje innen 24 timer etter oppdagelse, med en mer detaljert rapport innen 72 timer og en fullstendig rapport innen én måned.
  • Sikkerhet i leverandørkjeder: NIS2 krever at virksomheter sikrer at også deres leverandører oppfyller nødvendige sikkerhetskrav.
Bakgrunn og formål
  • Startet i 2021, vedtatt i 2022: Direktivet ble påbegynt i 2021 og vedtatt 14. desember 2022.
  • Frist for implementering: Alle medlemsstater må innføre direktivet innen 24. oktober 2024.
  • Del av en større sikkerhetspakke: Inkluderer også CER-direktivet om kritiske enheters motstandsdyktighet
Hvem omfattes av NIS 2?

Generelle kriterier:

  • Størrelse: Virksomheter innenfor de definerte sektorene som kvalifiserer som mellomstore foretak under EU-kommisjonens anbefaling fra 2003, eller som overstiger disse grensene. Dette inkluderer typisk bedrifter med 50 ansatte eller flere eller årlig omsetning på mer enn 10 millioner euro.
  • Nøkkelrolle: Mindre virksomheter med kritisk betydning for samfunnet kan også omfattes.

Sektoroversikt:

Vesentlige tjenester:

  • Energi
  • Transport
  • Bank
  • Finansmarkedsinfrastrukturer
  • Helse
  • Drikkevann
  • Avløpsvann
  • Digital infrastruktur
  • IKT-tjenester
  • Offentlig forvaltning (sentral og regional)
  • Romvirksomhet

Viktige tjenester:

  • Post- og kurertjenester
  • Avfallshåndtering
  • Produksjon og distribusjon av kjemikalier
  • Matproduksjon
  • Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)
  • Tilbydere av digitale tjenester
  • Forskning
Styrkede sikkerhetskrav

Virksomheter må gjennomføre:

  • Risikovurderinger: Regelmessige risikovurderinger for å identifisere og håndtere risikoer, både eksterne og interne.
  • Sikkerhetstiltak: Krav om implementering av tekniske og organisatoriske tiltak som kryptering, sikkerhetslogging, tilgangsstyring, og regelmessige oppdateringer av sikkerhetssystemer.
  • Samarbeid med leverandører: Virksomheter er ansvarlige for å sikre at også leverandører og tredjeparter overholder kravene til sikkerhet.
Rapportering av hendelser

NIS2 stiller strenge krav til rapportering av sikkerhetshendelser. Hendelser som kan føre til betydelig samfunnsmessig innvirkning må rapporteres til nasjonale myndigheter innen 24 timer etter oppdagelse. En mer detaljert rapport må leveres innen 72 timer, og en fullstendig rapport må følge innen en måned som beskriver tiltakene for å forhindre fremtidige hendelser.

Tilsyn og sanksjoner
  • Tilsynsregimer: Strengere tilsyn for vesentlige tjenester enn for viktige tjenester. Tilsyn med viktige tjenester skjer kun dersom det foreligger informasjon om at kravene ikke overholdes, mens vesentlige tjenester kan bli gjenstand for uanmeldt tilsyn.
  • Sanksjoner: NIS2 regulerer hvordan overtredelser skal sanksjoneres, inkludert administrative bøter på opptil 10 000 000 euro for vesentlige tilbydere og 7 000 000 euro for viktige tilbydere.
Samarbeid på EU-nivå
  • Sikkerhet i forsyningskjeden: Forbedret samarbeid for å sikre kritiske IKT-tjenester. Direktivet etablerer et rammeverk for koordinert offentliggjøring av sårbarheter i hele EU.
  • NIS-samarbeidsgruppen: Direktivet forbedrer også NIS-samarbeidsgruppens rolle i strategiske politiske beslutninger om ny teknologi og trender. Det opprettes også et nytt nettverk, European Cyber Crisis Liaison Organisation Network (EU-CyCLONe), for å øke informasjonsdeling og samarbeid mellom myndigheter, inkludert cyberkrisehåndtering.
  • CSIRTs-nettverket: Samarbeidsnettverk for cybersikkerhet som medlemmer kan bruke for å samarbeide, utveksle informasjon og bygge tillit.
Praktiske implikasjoner for selskaper

Forberedelser:

  • Risikovurderinger: Starte tidlig med grundige risikovurderinger av nettverks- og informasjonssystemer. Identifiser og klassifiser sårbarheter og trusler som kan påvirke driften.
  • Implementering av sikkerhetstiltak: Etablere og implementere tekniske og organisatoriske sikkerhetstiltak, inkludert vedlikehold, overvåkning, testing og bruk av krypteringsteknologier. Sørg for at leverandørkjeder og forsyningskjeder er sikret mot cybertrusler.
  • Utvikling av beredskapsplaner: Utvikle og øve på beredskapsplaner for håndtering av sikkerhetshendelser. Dette inkluderer prosedyrer for varsling, respons og gjenoppretting etter en hendelse.
  • Opplæring og bevisstgjøring: Gjennomføre opplæringsprogrammer for ansatte for å øke bevisstheten om cybersikkerhet og deres rolle i å opprettholde sikkerheten.

Fordeler:

  • Økt sikkerhet: Styrkede sikkerhetstiltak reduserer risikoen for cyberangrep og dataovertredelser, noe som kan beskytte selskapets eiendeler og omdømme.
  • Tillit fra kunder og partnere: Implementering av NIS2-kravene viser at selskapet tar sikkerhet på alvor, noe som kan øke tilliten hos kunder og forretningspartnere.
  • Kostnadsbesparelser: På lang sikt kan investering i sikkerhetstiltak føre til kostnadsbesparelser ved å redusere sannsynligheten og virkningen av sikkerhetshendelser. Dette inkluderer besparelser knyttet til potensielle bøter, rettslige kostnader og tap av inntekter.

Spesifikke krav i NIS2:

  • Rapportering av hendelser: Selskaper må etablere prosedyrer for å rapportere hendelser med betydelig innvirkning til relevante myndigheter innen bestemte tidsrammer.
  • Tilsyn og revisjoner: Vær forberedt på tilsyn og revisjoner fra nasjonale tilsynsmyndigheter for å sikre at sikkerhetstiltakene er i samsvar med direktivets krav.
  • Dokumentasjon og rapportering: Opprett og vedlikehold dokumentasjon av alle sikkerhetstiltak og risikovurderinger som er utført. Dette inkluderer loggføring av sikkerhetshendelser og responsprosesser.

Ressurser og støtte

  • ENISA: Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA) tilbyr ressurser og veiledning for å hjelpe med implementeringen av NIS2.
  • Nasjonale myndigheter: I Norge har Nasjonal sikkerhetsmyndighet (NSM) tilsynsansvaret.
  • ESA: EFTAs overvåkningsorgan, som overvåker at EØS-avtalen blir fulgt i EØS-EFTA-landene.

Konklusjon

NIS 2 er et viktig direktiv som skal styrke sikkerheten i nettverks- og informasjonssystemer. Ved å forstå og oppfylle kravene i NIS2, kan selskaper i Europa forbedre sin motstandsdyktighet mot cybertrusler og oppnå økt tillit fra sine kunder og partnere.

Nøkkelord

  • CER-direktivet: Direktivet om kritiske enheters motstandsdyktighet, som inngår i samme sikkerhetspakke som NIS2.
  • ESA: EFTAs overvåkningsorgan, som overvåker at EØS-avtalen blir fulgt i EØS-EFTA-landene.
  • ENISA: EUs ekspertisesenter for internettsikkerhet.
  • CSIRTs-nettverket: Samarbeidsnettverk for cybersikkerhet som medlemmer kan bruke for å samarbeide, og utveksle informasjon.

Ta kontakt dersom du trenger hjelp med å møte kravene fra NIS2.

Kilder:

  • Regjeringen: https://www.regjeringen.no/no/sub/eos-notatbasen/notatene/2021/feb/nis2-direktivet/id2846097/
  • NIS2 Directive: https://www.nis2-info.eu/