27 juni 2024

NIS 2: Bli klar for den nye æraen av cybersikkerhet i Europa

cyber-security-adobestock_431404452.jpg

Det nylig vedtatte NIS 2-direktivet fokuserer på å styrke cybersikkerheten i kritiske sektorer i EU ved å innføre strengere krav til risikostyring, rapportering av hendelser og tilsyn. Denne artikkelen gir en oversikt over hva NIS 2 innebærer, hvorfor det er viktig, og hvordan det påvirker selskaper i Europa.

Hva er NIS 2?

Direktivet NIS 2 (EU) 2022/2555, utstedt av Europaparlamentet og Rådet for EU, har som mål å opprettholde et høyt sikkerhetsnivå i nettverks- og informasjonssystemer på tvers av landene i EU.

Formål:

  • Styrke motstandsdyktigheten mot cybertrusler.
  • Harmonisere sikkerhetstiltakene i hele EU.
  • Fremme samarbeid og informasjonsutveksling mellom medlemslandene.
NIS1 vs. NIS2 – Hva er nytt?
  • Flere sektorer inkludert: NIS 2-direktivet dekker nå et bredere spekter av sektorer, inkludert IKT-tjenester, post- og kurertjenester, avfallshåndtering, kjemikalieproduksjon og forskningsaktiviteter.
  • Skjerpede krav: Det innføres skjerpede krav for risikovurderinger og sikkerhetstiltak.
  • Mer presise rapporteringskrav: Klare retningslinjer for hva som må rapporteres og når.
Bakgrunn og formål
  • Startet i 2021, vedtatt i 2022: Direktivet ble påbegynt i 2021 og vedtatt 14. desember 2022.
  • Frist for implementering: Alle medlemsstater må innføre direktivet innen 24. oktober 2024.
  • Del av en større sikkerhetspakke: Inkluderer også CER-direktivet om kritiske enheters motstandsdyktighet
Hvem omfattes av NIS 2?

Generelle kriterier:

  • Størrelse: Virksomheter innenfor de definerte sektorene som kvalifiserer som mellomstore foretak under EU-kommisjonens anbefaling fra 2003, eller som overstiger disse grensene. Dette inkluderer typisk bedrifter med 50 ansatte eller flere.
  •  Nøkkelrolle: Mindre virksomheter med kritisk betydning for samfunnet kan også omfattes.

Sektoroversikt:

Vesentlige tjenester:

  • Energi
  • Transport
  • Bank
  • Finansmarkedsinfrastrukturer
  • Helse
  • Drikkevann
  • Avløpsvann
  • Digital infrastruktur
  • IKT-tjenester
  • Offentlig forvaltning (sentral og regional)
  • Romvirksomhet

Viktige tjenester:

  • Post- og kurertjenester
  • Avfallshåndtering
  • Produksjon og distribusjon av kjemikalier
  • Matproduksjon
  • Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)
  • Tilbydere av digitale tjenester
  • Forskning
Styrkede sikkerhetskrav

Virksomheter må gjennomføre:

  • Risikovurderinger: Identifisere og håndtere risiko i nettverk og informasjonssystemer.
  • Sikkerhetstiltak: Implementere tekniske og organisatoriske tiltak som vedlikehold, overvåkning, testing og bruk av kryptografi.
Rapportering av hendelser
  • Krav: Hendelser med betydelig innvirkning må rapporteres.
  • Tidsrammer: Spesifikke frister for varsling.
Tilsyn og sanksjoner
  • Tilsynsregimer: Strengere tilsyn for vesentlige tjenester enn for viktige tjenester. Tilsyn med viktige tjenester skjer kun dersom det foreligger informasjon om at kravene ikke overholdes, mens vesentlige tjenester kan bli gjenstand for uanmeldt tilsyn.
  • Sanksjoner: NIS2 regulerer hvordan overtredelser skal sanksjoneres, inkludert administrative bøter på opptil 10 000 000 euro for vesentlige tilbydere og 7 000 000 euro for viktige tilbydere.
Samarbeid på EU-nivå
  • Sikkerhet i forsyningskjeden: Forbedret samarbeid for å sikre kritiske IKT-tjenester. Direktivet etablerer et rammeverk for koordinert offentliggjøring av sårbarheter i hele EU.
  • NIS-samarbeidsgruppen: Direktivet forbedrer også NIS-samarbeidsgruppens rolle i strategiske politiske beslutninger om ny teknologi og trender. Det opprettes også et nytt nettverk, European Cyber Crisis Liaison Organisation Network (EU-CyCLONe), for å øke informasjonsdeling og samarbeid mellom myndigheter, inkludert cyberkrisehåndtering.
  • CSIRTs-nettverket: Samarbeidsnettverk for cybersikkerhet som medlemmer kan bruke for å samarbeide, utveksle informasjon og bygge tillit.
Praktiske implikasjoner for selskaper

Forberedelser:

  • Risikovurderinger: Starte tidlig med grundige risikovurderinger av nettverks- og informasjonssystemer. Identifiser og klassifiser sårbarheter og trusler som kan påvirke driften.
  • Implementering av sikkerhetstiltak: Etablere og implementere tekniske og organisatoriske sikkerhetstiltak, inkludert vedlikehold, overvåkning, testing og bruk av krypteringsteknologier. Sørg for at leverandørkjeder og forsyningskjeder er sikret mot cybertrusler.
  • Utvikling av beredskapsplaner: Utvikle og øve på beredskapsplaner for håndtering av sikkerhetshendelser. Dette inkluderer prosedyrer for varsling, respons og gjenoppretting etter en hendelse.
  • Opplæring og bevisstgjøring: Gjennomføre opplæringsprogrammer for ansatte for å øke bevisstheten om cybersikkerhet og deres rolle i å opprettholde sikkerheten.

Fordeler:

  • Økt sikkerhet: Styrkede sikkerhetstiltak reduserer risikoen for cyberangrep og dataovertredelser, noe som kan beskytte selskapets eiendeler og omdømme.
  • Tillit fra kunder og partnere: Implementering av NIS2-kravene viser at selskapet tar sikkerhet på alvor, noe som kan øke tilliten hos kunder og forretningspartnere.
  • Kostnadsbesparelser: På lang sikt kan investering i sikkerhetstiltak føre til kostnadsbesparelser ved å redusere sannsynligheten og virkningen av sikkerhetshendelser. Dette inkluderer besparelser knyttet til potensielle bøter, rettslige kostnader og tap av inntekter.

Spesifikke krav i NIS2:

  • Rapportering av hendelser: Selskaper må etablere prosedyrer for å rapportere hendelser med betydelig innvirkning til relevante myndigheter innen bestemte tidsrammer.
  • Tilsyn og revisjoner: Vær forberedt på tilsyn og revisjoner fra nasjonale tilsynsmyndigheter for å sikre at sikkerhetstiltakene er i samsvar med direktivets krav.
  • Dokumentasjon og rapportering: Opprett og vedlikehold dokumentasjon av alle sikkerhetstiltak og risikovurderinger som er utført. Dette inkluderer loggføring av sikkerhetshendelser og responsprosesser.

Ressurser og støtte

  • ENISA: Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA) tilbyr ressurser og veiledning for å hjelpe med implementeringen av NIS2.
  • Nasjonale myndigheter: I Norge har Nasjonal sikkerhetsmyndighet (NSM) tilsynsansvaret.
  • ESA: EFTAs overvåkningsorgan, som overvåker at EØS-avtalen blir fulgt i EØS-EFTA-landene.

Konklusjon

NIS 2 er et viktig direktiv som skal styrke sikkerheten i nettverks- og informasjonssystemer. Ved å forstå og oppfylle kravene i NIS2, kan selskaper i Europa forbedre sin motstandsdyktighet mot cybertrusler og oppnå økt tillit fra sine kunder og partnere.

Nøkkelord

  • CER-direktivet: Direktivet om kritiske enheters motstandsdyktighet, som inngår i samme sikkerhetspakke som NIS2.
  • ESA: EFTAs overvåkningsorgan, som overvåker at EØS-avtalen blir fulgt i EØS-EFTA-landene.
  • ENISA: EUs ekspertisesenter for internettsikkerhet.
  • CSIRTs-nettverket: Samarbeidsnettverk for cybersikkerhet som medlemmer kan bruke for å samarbeide, og utveksle informasjon.

Ta kontakt dersom du trenger hjelp med å møte kravene fra NIS2.

Kilder:

  • Regjeringen: https://www.regjeringen.no/no/sub/eos-notatbasen/notatene/2021/feb/nis2-direktivet/id2846097/
  • NIS2 Directive: https://www.nis2-info.eu/