Hva er NIS2-direktivet og hvordan påvirker det organisasjonen din?

Sarah Hofmann
By: Sarah Hofmann Cybersikkerhet | 27 desember

NIS2 (Network and Information Security) er EUs nyeste direktiv for å forbedre den kollektive IT-sikkerheten blant medlemslandene. Direktivet trådte i kraft i januar 2023, og alle relevante organisasjoner forventes å oppfylle de nye kravene fra og med 18. oktober 2024. NIS2-direktivet skal sikre at alle organisasjoner som har en samfunnsviktig funksjon har et høyt nivå av IT-sikkerhet.

I dette innlegget gir vi deg en oppsummering av NIS2. Vi forklarer hva NIS2-direktivet er, hva slags organisasjoner det gjelder for, de nye sikkerhetskravene som organisasjonene må oppfylle, og hvordan det skal håndheves. Vi gir deg også fire trinn som hjelper deg med å komme i gang med NIS2-arbeidet. Her får du vite hva det hele handler om, om direktivet gjelder for din organisasjon, og hva du i så fall bør gjøre.

Innholdsfortegnelse

 

Hva er NIS2-direktivet? 

NIS2-direktivet er en ny retningslinje i EU som alle medlemsland og organisasjoner som leverer tjenester i EU må overholde innen 18. oktober 2024. Hovedformålet med NIS2-direktivet er å beskytte samfunnskritiske organisasjoner og infrastruktur i EU mot cybertrusler, og å oppnå et høyt felles sikkerhetsnivå i hele EU.

For å nå dette målet fokuserer NIS2 på organisasjoner som leverer viktige tjenester.

Vi er avhengige av disse organisasjonene for at samfunnet skal fungere normalt, noe som betyr at eventuelle forstyrrelser kan få store og alvorlige konsekvenser for f.eks. økonomiske aktiviteter eller folkehelsen i EU.

Direktivet inneholder strengere krav til sikkerhet, nye rapporteringsforpliktelser og utvidede håndhevingstiltak for flere organisasjoner enn det første NIS-direktivet.

Kort sagt inneholder NIS2-direktivet nye sikkerhetskrav til de selskapene og organisasjonene vi stoler mest på.

NIS2-direktivet omfatter bedrifter og organisasjoner som leverer samfunnskritiske tjenester

Hvorfor NIS2 ble opprettet

Vi vet at du ikke kan vente med å dykke ned i alt som er nytt med NIS2. Men først vil vi gi deg litt bakgrunnsinformasjon.

EUs første retningslinjer for IT-sikkerhet, NIS-direktivet fra 2016, trengte en oppdatering for å beskytte EU-land mot nye IT-sikkerhetstrusler. Under covid-19-pandemien opplevde verden en økning i antall cyberangrep, noe som fikk EU-kommisjonen til å foreslå et nytt og forbedret NIS2-direktiv.

NIS2-direktivet tetter hullene i det opprinnelige NIS-direktivet ved å legge til nye samfunnskritiske tjenestesektorer, styrke sikkerhetskravene, adressere leverandørkjedesikkerhet og øke rapporteringsforpliktelser og håndhevelse.

I oktober 2024 vil NIS2 erstatte det opprinnelige NIS-direktivet. Målet er at det vil gjøre leverandører av samfunnskritiske tjenester bedre rustet til å håndtere dagens IT-sikkerhetstrusler.

NIS2 vil erstatte NIS-direktivet. Det innebærer at flere organisasjoner må oppfylle strengere krav til IT-sikkerhet.

Men er organisasjonen din ansett som samfunnskritisk?

Vel, vi synes nok alle at virksomheten vår er samfunnskritisk - men i dette tilfellet må vi se hva NIS2-direktivet sier.

 

Påvirker NIS2 organisasjonen din?

Det er spørsmålet alle bedrifter stiller seg akkurat nå.

Svaret er ja hvis du jobber i en av sektorene som det opprinnelige NIS-direktivet gjaldt for, eller en av sektorene som ble lagt til på listen i det nye NIS2-direktivet.

Det opprinnelige NIS-direktivet gjaldt for organisasjoner i følgende sektorer:

  • Helsevesen
  • Digital infrastruktur
  • Transport
  • Vannforsyning
  • Leverandører av digitale tjenester
  • Bank- og finansmarkedsinfrastruktur
  • Energi

Det nye NIS2-direktivet dekker 18 ulike sektorer med undersektorer

NIS2-direktivet bruker mange ulike begreper for å beskrive sektorene det gjelder for, så vi går gjennom dem én etter én. Vi hopper over den juridiske praten og forteller deg det du trenger å vite.

Først tar vi en titt på alle de 18 sektorene NIS2 gjelder for. NIS2-direktivet deler disse sektorene inn i to kategorier: vesentlige og viktige sektorer. Vi kommer tilbake til hvorfor disse kategoriene er viktige senere, men la oss først se om organisasjonen din er inkludert og i så fall hvor. 


Smart CTA Risk NO

 

Vesentlige sektorer i NIS2-direktivet

Følgende 11 sektorer anses som vesentlige i NIS2. For hver sektor har vi listet opp undersektorene og hva de omfatter. Hvis du leser teksten i NIS2-direktivet, er disse sektorene oppført i vedlegg 1.

1. ENERGI

Elektrisitet

Omfatter:

  • Elektrisitetsleverandører
  • Operatører av distribusjonssystemer
  • Operatører av overføringssystemer
  • Produsenter
  • Navngitte markedsoperatører for elektrisitet
  • Markedsaktører som tilbyr tjenester for aggregering, etterspørselsrespons eller energilagring
  • Operatører og forvaltere av ladepunkt som tilbyr ladetjenester til sluttbrukere, inkludert i navnet til og på vegne av en leverandør av mobilitetstjenester

Fjernvarme og fjernkjøling

Omfatter operatører av fjernvarme eller fjernkjøling

Olje

Omfatter:

  • Operatører av rørledninger for overføring av olje
  • Operatører av oljeproduksjons-, raffinerings- og behandlingsanlegg, lagring og overføring
  • Sentrale lagerenheter

Gass

Omfatter:

  • Forsyningsforetak
  • Operatører av distribusjonssystemer
  • Operatører av overføringssystemer
  • Operatører av lagringssystemer
  • Operatører av LNG-systemer
  • Naturgassforetak
  • Operatører av raffinerings- og behandlingsanlegg for naturgass

Hydrogen

Omfatter operatører av hydrogenproduksjon, -lagring og -overføring.

 

2. TRANSPORT

Fly

Omfatter:

  • Luftfartsselskaper som brukes til kommersielle formål
  • Flyplassdriftsorganer, flyplasser og enheter som driver tilknyttede installasjoner på flyplasser
  • Trafikkstyringsoperatører som leverer flygekontrolltjenester (ATC)

Jernbane

Omfatter:

  • Infrastrukturforvaltere
  • Jernbaneforetak, inkludert operatører av serviceanlegg

Vann

Omfatter:

  • Innlands-, sjø- og kysttransportselskaper for passasjerer og gods - ikke inkludert de enkelte fartøyene som drives av disse selskapene
  • Forvaltningsorganer for havner, inkludert havneanlegg og enheter som driver anlegg og utstyr i havner
  • Operatører av sjøtrafikksentraltjenester (VTS)

Vei

Omfatter:

  • Veimyndigheter med ansvar for trafikkstyringskontroll - unntatt offentlige enheter der trafikkstyring eller drift av intelligente transportsystemer ikke er en vesentlig del av den generelle virksomheten.
  • Operatører av intelligente transportsystemer

 

3. BANKER

Omfatter kredittinstitusjoner

 

4. INFRASTRUKTUR FOR FINANSMARKEDET 

Omfatter:

  • Operatører av handelsplasser
  • Sentrale motparter (CCP-er) 

 

5. HELSE

Omfatter:

  • Leverandører av helsetjenester
  • Referanselaboratorier i EU
  • Virksomheter som driver med forskning og utvikling av legemidler
  • Virksomheter som produserer farmasøytiske basisprodukter og preparater
  • Enheter som produserer medisinsk utstyr som anses å være kritisk i en folkehelsesituasjon

 

6. DRIKKEVANN

Omfatter leverandører og distributører av drikkevann - med unntak av distributører som ikke har distribusjon av drikkevann som en vesentlig del av sin generelle virksomhet med å distribuere andre varer og tjenester

 

7. AVFALLSVANN

Omfatter foretak som samler inn, bortskaffer eller behandler kommunalt avløpsvann, husholdningsavløpsvann eller industrielt avløpsvann - unntatt foretak der oppsamling, bortskaffelse eller behandling av kommunalt avløpsvann, industrielt avløpsvann eller husholdningsavløpsvann ikke er en vesentlig del av den generelle virksomheten

 

8. DIGITAL INFRASTRUKTUR

Omfatter:

  • Leverandører av internettutvekslingspunkter
  • Leverandører av DNS-tjenester, unntatt operatører av rotnavneservere
  • TLD-navneregistre
  • Leverandører av nettskytjenester
  • Leverandører av datasentertjenester
  • Leverandører av innholdsleveringsnettverk
  • Leverandører av tillitstjenester
  • Leverandører av offentlige elektroniske kommunikasjonsnett
  • Leverandører av offentlig tilgjengelige elektroniske kommunikasjonstjenester

 

9. FORVALTNING AV IKT-TJENESTER (BUSINESS-TO-BUSINESS)

Omfatter:

  • Leverandører av administrative tjenester
  • Leverandører av administrerte sikkerhetstjenester

 

10. OFFENTLIG ADMINISTRASJON

Omfatter:

  • Offentlige forvaltningsenheter i sentrale myndigheter
  • Offentlige forvaltningsenheter på regionalt nivå
  • Medlemsstatene kan anvende NIS2 på: (a) offentlige forvaltningsenheter på lokalt nivå, (b) utdanningsinstitusjoner, særlig når de utfører kritisk forskningsvirksomhet
  • Gjelder ikke for offentlige forvaltningsenheter som utøver sin virksomhet på områdene nasjonal sikkerhet, offentlig sikkerhet, forsvar eller rettshåndhevelse, herunder forebygging, etterforskning, avsløring og rettsforfølgelse av straffbare handlinger.

 

11. ROMMET

Omfatter operatører av bakkebasert infrastruktur - eid, forvaltet og drevet av stater eller private parter - som støtter levering av rombaserte tjenester - unntatt leverandører av offentlige elektroniske kommunikasjonsnett.

 

Nå skal vi se på de andre kritiske sektorene som er oppført i NIS2. Hvis organisasjonen din allerede ble oppført i listen ovenfor, vil du ikke bli oppført igjen.

 

Viktige sektorer i NIS2-direktivet

NIS2-direktivet definerer 7 andre viktige sektorer. Du kan se dem nedenfor, sammen med undersektorer og beskrivelser av hva undersektorene omfatter. Disse finnes for øvrig i vedlegg 2 til NIS2-direktivet, hvis du vil friske opp den juridiske sjargongen.

 

1. POST- OG BUDTJENESTER

Omfatter: tilbydere av posttjenester, inkludert tilbydere av budtjenester.

 

2. AVFALLSHÅNDTERING

Omfatter foretak som driver med avfallshåndtering - unntatt foretak som ikke har avfallshåndtering som hovedvirksomhet.

 

3. FREMSTILLING, PRODUKSJON OG DISTRIBUSJON AV KJEMIKALIER

Omfatter foretak som produserer stoffer og distribuerer stoffer eller blandinger, og foretak som produserer artikler av stoffer eller blandinger.

 

4. PRODUKSJON, BEARBEIDING OG DISTRIBUSJON AV NÆRINGSMIDLER

Omfatter næringsmiddelbedrifter som driver med grossistdistribusjon og industriell produksjon og foredling.

 

5. PRODUKSJON

Omfatter:

  • Produksjon av medisinsk utstyr og medisinsk utstyr til in vitro-diagnostikk
  • Produksjon av datamaskiner, elektroniske og optiske produkter
  • Produksjon av elektrisk utstyr
  • Produksjon av maskiner og utstyr i.a.n.
  • Produksjon av motorkjøretøyer, tilhengere og semitrailere
  • Produksjon av andre transportmidler

 

6. DIGITALE LEVERANDØRER

Omfatter:

  • Leverandører av nettbaserte markedsplasser
  • Leverandører av søkemotorer på nettet
  • Leverandører av plattformer for sosiale nettverkstjenester

 

7. FORSKNING

Omfatter forskningsorganisasjoner - det vil si en enhet som har som hovedmål å drive anvendt forskning eller eksperimentell utvikling og bruke forskningsresultatene til kommersielle formål, men som ikke omfatter utdanningsinstitusjoner.

 

Hvis organisasjonen din befinner seg i en av de ovennevnte sektorene, uansett om den er i kategorien "vesentlig" eller "viktig", kan NIS2 gjelde for deg.

Hva nå?

Fyll opp kaffekoppen din og følg med - vi er ikke ferdige ennå! 

Nå er det på tide å snakke om de to kategoriene av organisasjoner i NIS2-direktivet.

Vesentlige vs. viktige enheter ifølge NIS2

Organisasjonens størrelse har også noe å si for hvorvidt organisasjonen regnes som vesentlig eller viktig. 

Organisasjoner i begge kategorier må oppfylle de samme sikkerhetskravene. Forskjellen ligger i hvordan organisasjonene overvåkes og straffes dersom de ikke oppfyller kravene.

For å finne ut om organisasjonen din anses som vesentlig eller viktig, må du først og fremst ta utgangspunkt i organisasjonens størrelse. Vi utdyper dette nedenfor. 

Vesentlige enheter

  • Organisasjoner i vesentlige sektorer (se ovenfor) med mer enn 250 ansatte, en årlig omsetning på mer enn 50 millioner euro eller en balanse på mer enn 43 millioner euro
  • Uavhengig av størrelse: leverandører av tillitstjenester, toppdomeneregistre og leverandører av DNS-tjenester
  • Leverandører av offentlige elektroniske kommunikasjonsnett eller offentlig tilgjengelige elektroniske kommunikasjonstjenester med 50-250 ansatte eller mer enn 10 millioner euro i omsetning
  • Enheter i offentlig forvaltning
  • Alle andre svært viktige organisasjoner eller andre organisasjoner som er den eneste leverandøren av tjenesten i landet, eller hvis avbrudd i tjenesten de tilbyr kan få betydelige konsekvenser

Viktige organisasjoner kan overvåkes proaktivt for å sikre at de oppfyller kravene i NIS2-direktivet.

 

Viktige enheter

Viktige enheter er i utgangspunktet de som ikke anses som vesentlige.

  • Alle andre svært viktige organisasjoner eller andre viktige organisasjoner som ikke oppfyller kravene til vesentlige enheter

I praksis omfatter dette organisasjoner innenfor sektorene som er inkludert i NIS2-direktivet (ovenfor) som er mellomstore eller mindre (færre enn 250 ansatte, har en årlig omsetning på mindre enn 50 millioner euro eller en balanse på mindre enn 43 millioner euro).

Små bedrifter (færre enn 50 ansatte, omsetning på 10 millioner euro eller mindre) og mikrobedrifter (færre enn 10 ansatte, omsetning på 2 millioner euro eller mindre) er ikke nødvendigvis unntatt fra NIS2. Landene de opererer i, kan inkludere dem hvis tjenestene deres spiller en nøkkelrolle i samfunnet.

Viktige organisasjoner overvåkes "i etterkant", noe som betyr at de bare vil bli etterforsket hvis myndighetene mottar bevis på manglende overholdelse.

Puh - nå er den vanskelige delen over. Takk for at du fortsatt er her!

Nå som vi har fått alle de kompliserte NIS2-detaljene ut av veien, kan vi se nærmere på hva NIS2 betyr for deg.

 

Hva om organisasjonen min ikke er lokalisert i EU?

Ikke i EU, ikke ditt problem? Tro om igjen!

Selv om organisasjonen din ikke er lokalisert i EU, må den overholde NIS2-direktivet hvis den leverer tjenester i EU.

NIS2 gir noen regler for hvordan organisasjoner utenfor EU skal oppføre seg.

Direktivet sier at enheter utenfor EU som tilbyr tjenester i EU, må utpeke en representant for EU i et av landene der tjenestene tilbys. Representanten er da ansvarlig for å administrere organisasjonens NIS2-samsvarsarbeid, for eksempel rapportering av sikkerhetshendelser.

Hva om NIS2-direktivet ikke gjelder for meg?

Hvis du har lest gjennom sektorene og størrelseskravene ovenfor, og det ser ut til at organisasjonen din ikke behøver å overholde NIS2-direktivet, trenger du ikke å bekymre deg.

Det er ingen grunn til å være redd for umiddelbare bøter eller å måtte innføre snarlige tiltak for å oppfylle kravene.

Men du bør likevel vurdere å bygge opp sikkerhetsarbeidet ditt slik at det er i samsvar med direktivet. Det er det flere grunner til:

  • NIS2 oppfordrer landene til å sørge for at også organisasjoner som ikke omfattes av direktivet, oppnår et høyt nivå av IT-sikkerhet ved å innføre de samme risikostyringstiltakene.
  • NIS2 omfatter et stort antall organisasjoner, og disse organisasjonene må sørge for at leverandørene deres også er sikre. Så mange selskaper vil ende opp med å måtte overholde NIS2-direktivet fordi et selskap de samarbeider med, gjør det samme.

I utgangspunktet ser det ut til at risikostyrings- og IT-sikkerhetstiltakene i NIS2 raskt vil bli standarden.

Ved å proaktivt tilpasse sikkerheten din til de 10 minstekravene i NIS2, gjør du det enkelt for andre selskaper å samarbeide med deg. Du kan også signalisere til kundene dine at du bruker sikre metoder og at de kan stole på deg.

Nå som du har en idé om hvorvidt NIS2 gjelder for din organisasjon...

La oss snakke om alt det som organisasjoner må gjøre for å etterleve NIS2.

Det viktigste å vite er at det er 10 sikkerhetskrav og tidsfrister for rapportering av sikkerhetshendelser.

La oss sette i gang!

 

 

NIS2-direktivet har tre overordna mål 

De tre hovedmålene med NIS2 er å øke motstandsdyktigheten mot IT-trusler hos leverandører av samfunnsviktige tjenester, effektivisere motstandsdyktigheten gjennom strengere sikkerhetskrav og sanksjoner ved brudd, og forbedre EUs beredskap for å håndtere IT-angrep.

NIS2 innebærer nye retningslinjer for blant annet sikkerhet og ansvar.

NIS2-direktivet inneholder nye krav på fire områder

1. Risikohåndtering

Håndtering av IT-sikkerhetsrisiko er et hovedtema i hele NIS2-direktivet.

NIS2-direktivet sier at organisasjoner bør ha en all-hazards-tilnærming for å håndtere risikoer som kan oppstå som følge av f.eks. menneskelige feil, systemsvikt, ondsinnede aktører, naturkatastrofer og systemets fysiske og miljømessige sikkerhet.

2. Virksomhetens ansvar

NIS2 ansvarliggjør toppledelsen på nye måter. Direktivet krever at ledelsen overvåker, godkjenner, får opplæring i og håndterer risikoer for organisasjonens cybersikkerhet.

Hvis de unnlater å gjøre dette, kan de holdes personlig ansvarlige gjennom tiltak som for eksempel suspensjon fra lederstillinger.

3. Rapporteringsforpliktelser

Det nye direktivet inneholder detaljerte krav til rapportering av sikkerhetshendelser, som vi kommer tilbake til senere.

Men inntil videre er det greit å vite at organisasjoner må ha prosesser på plass for rask rapportering av sikkerhetshendelser.

4. Kontinuitet i virksomheten

Siden NIS2 gjelder for leverandører av samfunnsviktige tjenester, er det viktig at disse organisasjonene har planer for å holde tjenestene i gang hvis de opplever en alvorlig sikkerhetshendelse.

Planen bør for eksempel omfatte ting som systemgjenoppretting, nødprosedyrer og opprettelse av et kriseteam.

Nå går vi over til den morsomme delen - hva NIS2 faktisk krever og hva som kan skje hvis du ikke oppfyller kravene.

Krav i NIS2

NIS2-direktivet stiller krav til hvilke sikkerhetstiltak organisasjoner må ha, tidsfrister for rapportering av sikkerhetshendelser og hvordan organisasjoner kan straffes hvis de ikke oppfyller kravene.

IT-sikkerhet: 10 minstekrav til sikkerhet i NIS2

NIS2 sier at organisasjoner må iverksette hensiktsmessige og proporsjonale risikostyringstiltak for å forebygge sikkerhetshendelser og minimere konsekvensene av dem.

NIS2 inneholder en liste med 10 grunnleggende tiltak som alle organisasjoner må gjennomføre.

Gjør sjekklisten klar og se hvor mange av dem du allerede har innført!

  1. Retningslinjer for risikoanalyse og informasjonssystemsikkerhet
  2. Hendelseshåndtering
  3. Kontinuitet i virksomheten, f.eks. sikkerhetskopiering, katastrofegjenoppretting og krisehåndtering
  4. Sikkerhet i leverandørkjeden, inkludert sikkerhetsrelaterte aspekter knyttet til forholdet mellom den enkelte enhet og dens direkte leverandører eller tjenesteleverandører
  5. Sikkerhet i forbindelse med anskaffelse, utvikling og vedlikehold av nettverks- og informasjonssystemer, inkludert sårbarhetshåndtering og varsling
  6. Retningslinjer og prosedyrer for å vurdere effektiviteten av risikostyringstiltakene for IT-sikkerhet
  7. Grunnleggende rutiner for IT-hygiene og opplæring i IT-sikkerhet  
  8. Retningslinjer og prosedyrer for bruk av kryptografi og, der det er hensiktsmessig, kryptering.
  9. Personellsikkerhet, retningslinjer for tilgangskontroll og ressursforvaltning  
  10. Bruk av flerfaktorautentisering eller kontinuerlige autentiseringsløsninger, sikret tale-, video- og tekstkommunikasjon og sikrede nødkommunikasjonssystemer i enheten - der det er hensiktsmessig.  

Teksten i NIS2-direktivet legger vekt på god IT-hygiene og bevissthet om cybersikkerhet.

NIS2-direktivet nevner blant annet programvare- og maskinvareoppdateringer, passordendringer, håndtering av nye installasjoner, tilgangskontroll og sikkerhet i nettbaserte applikasjoner.

Direktivet prioriterer også sikkerhet i leverandørkjeden. Det står at selskapene må skreddersy sikkerhetstiltakene for hver enkelt direkte leverandør og vurdere det generelle sikkerhetsnivået hos alle leverandører.

Heldigvis er de fleste av disse kravene ikke nye, og mange selskaper jobber forhåpentligvis allerede med disse områdene. Det går også hånd i hånd med GDPR-arbeidet, for dette er gode tiltak for å beskytte data.

Smart CTA Risk NO

Nye krav til rapportering

Hvis du opplever en sikkerhetshendelse, må du gi beskjed til de rette personene. NIS2-direktivet gir klare instruksjoner for hvordan organisasjoner skal rapportere sikkerhetshendelser.

  • Innen 24 timer etter at du først blir oppmerksom på en hendelse: Send inn et tidlig varsel til CSIRT-enheten (Computer Security Incident Response Team) eller nasjonale myndigheter. Hvis det er mulig, bør det fremgå om hendelsen antas å være forårsaket av ondsinnet eller ulovlig atferd, og om den vil få konsekvenser på tvers av landegrensene.
  • Innen 72 timer etter at du først ble oppmerksom på en hendelse: Send inn en hendelsesmelding. Den bør inneholde en oppdatering av det tidlige varselet med en første vurdering av hendelsen, dens alvorlighetsgrad og konsekvenser, og eventuelle indikatorer på kompromittering.
  • Innen 1 måned etter at du først ble oppmerksom på en hendelse: Send inn en sluttrapport. Den bør inneholde en detaljert beskrivelse av hendelsen, inkludert alvorlighetsgrad og konsekvenser, hva som forårsaket den, iverksatte og pågående risikoreduserende tiltak samt konsekvenser på tvers av landegrensene.  
Forhåpentligvis får du ikke bruk for denne delen av NIS2-veiledningen. Men den er her i tilfelle du trenger den.

Strengere sanksjoner for brudd på NIS2-direktivet og økt tilsyn

NIS2-direktivet gjør alvor av å sikre at bedriftene følger reglene.

Direktivet fastsetter minstebøter som skal anvendes når en organisasjon ikke oppfyller NIS2s krav til sikkerhetsrisikohåndtering eller rapportering.

Vesentlige enheter kan ilegges bøter på minst 10 000 000 euro eller 2% av den totale globale omsetningen for det foregående året, avhengig av hva som er høyest. Dette er den samme boten som gis for mindre alvorlige brudd på personvernforordningen.

Viktige enheter kan ilegges bøter på minst 7 000 000 euro eller 1,4% av den totale globale omsetningen for det foregående året, avhengig av hva som er høyest.

Organisasjoner kan forvente å bli overvåket gjennom revisjoner, inspeksjoner på stedet og forespørsler om informasjon/dokumentasjon om NIS2-samsvar. Hvis det avdekkes brudd på NIS2, kan organisasjonen bli ilagt en bot, en ikke-monetær sanksjon, for eksempel et pålegg om å overholde regelverket, eller så kan ledelsen bli holdt ansvarlig.

For det meste vil organisasjoner bli underlagt tilsyn av det landet de er etablert i - med noen unntak for organisasjoner i sektoren for digital infrastruktur.

Hva betyr NIS2-direktivet for din organisasjon?

Organisasjoner innenfor de sektorene som omfattes av NIS2-direktivet, vil være ansvarlige for å overholde de nye sikkerhetskravene innen 18. oktober 2024.

For noen av sektorene vil EU-kommisjonen publisere ytterligere informasjon om de tekniske kravene innen 17. oktober 2024.

Hvis organisasjonen din omfattes av NIS2-direktivet, er det en god idé å sette i gang nå.

Hvis organisasjonen din ikke omfattes av NIS2-direktivet, kan du sannsynligvis slappe av litt til. Vurder om noen av selskapene du samarbeider med, må overholde NIS2-direktivet, og hva det kan bety for organisasjonen din. Og tenk over hvordan du kan innføre de nye sikkerhetskravene uansett, siden det vil gi deg en fordel senere.

Våre anbefalinger til din organisasjon

Før vi går videre, vil vi gi deg fire trinn som kan hjelpe deg med å komme i gang med NIS2-arbeidet.

Trinn 1: Finn ut om organisasjonen din må overholde NIS2-direktivet

Dette kan du gjøre ved å gå gjennom sektorene og størrelseskravene for NIS2. Hvis du må overholde NIS2-direktivet, kan du begynne med en risikovurdering.

Trinn 2: Utfør en risikovurdering

En risikovurdering gir deg en oversikt over alle potensielle sikkerhetsrisikoer organisasjonen din kan stå overfor, hvor sannsynlige de er, hvor stor innvirkning de vil ha på organisasjonen, og hva du allerede gjør for å håndtere risikoen.

En slik risikostyringsprosess er påkrevd i NIS2, og du kan komme i gang ved hjelp av vår gratis mal for risikoanalyse og veiledning til hvordan du fyller den ut. Risikoanalysen kan hjelpe deg med å finne ut hvor sikkerhetshullene i organisasjonen din er, og hva du må gjøre for å tette dem.

Når du først er i gang, krever NIS2-direktivet også at organisasjoner har retningslinjer for IT-sikkerhet. Vi har også en gratis mal og veiledning for retningslinjer for IT-sikkerhet.

I tillegg kan det være lurt å bruke ISO/IEC 27001 som grunnlag for risikovurdering og -styring. Du kan lese mer om hvordan du blir ISO 27001-sertifisert her.

Trinn 3: Innfør sikkerhetstiltak

Når du har bestemt deg for hvilke sikkerhetsendringer du må gjøre, er det på tide å gjennomføre dem.

Et rammeverk som kan hjelpe deg med dette, er PDCA-syklusen (Plan-Do-Check-Act). Det gir deg en strukturert måte å iverksette nye tiltak på og måle hvor godt de fungerer. Mange organisasjoner bruker det til å kontinuerlig forbedre IT-sikkerheten.

Når du innfører nye sikkerhetstiltak, må du sørge for at du har dekket alle de 10 grunnleggende sikkerhetskravene i NIS2-direktivet.

Du bør også se på leverandørkjeden og leverandørforholdene dine for å sikre at de også er sikre. Det er viktig å samarbeide med databehandlingspartnere som har et høyt sikkerhetsnivå for å sikre en sikker leverandørkjede. Du kan lese vår veiledning om databehandlere og behandlingsansvarlige her.  

ISO 22301 kan være til hjelp i arbeidet med kontinuitetsplanlegging og sikkerhet i leverandørkjeden.

Trinn 4: Evaluer effektiviteten av disse tiltakene

Hvis sikkerhetstiltakene ikke er tilstrekkelige eller ikke fungerer som forventet, er det her du kan se det og gjøre endringer. Det er lurt å starte tidlig med NIS2-arbeidet, slik at du er klar til oktober 2024.

 

Opplæring i sikkerhetsbevissthet i NIS2-direktivet

Siden CyberPilots oppgave er å tilby kvalitetsopplæring i sikkerhetsbevissthet, følger vi selvsagt med på kravene i NIS2-direktivet.

Det nye direktivet krever sikkerhetsreduserende tiltak, som kan omfatte å opplære dine ansatte i å oppdage phishing-e-poster ved hjelp av phishing-tester.

NIS2-direktivet krever også opplæring i sikkerhetsbevissthet - og økt sikkerhetsbevissthet kommer også til å være et fokusområde i de enkelte landenes nasjonale IT-sikkerhetsstrategier.

Opplæring i IT-sikkerhet, risikoer, IT-sikkerhetskompetanse, bevissthet og god IT-praksis for både ledelse og ansatte er prioritert i NIS2-teksten. Våre kurs i sikkerhetsbevissthet er en av måtene CyberPilot kan hjelpe deg med å tilpasse deg NIS2 på.

IT-hygiene i NIS2-direktivet

Å bygge gode IT-sikkerhetsvaner og en sterk sikkerhetskultur i organisasjonen nevnes også i NIS2. En IT-orientert kultur og ansatte med gode digitale vaner går hånd i hånd for å øke den generelle sikkerheten.

En enkel måte å sette sikkerhet på dagsordenen på er å bruke visuelle påminnelser på kontoret. Vi har gratis plakater og infografikk med IT-sikkerhetstips som gjør sikkerhet morsomt. Du kan også ta en titt på guiden vår om hvordan du skaper en sterk sikkerhetskultur i organisasjonen.

Lær mer om NIS2

Er du interessert i å lese mer om NIS2-direktivet? EU-kommisjonen har besvart noen vanlige spørsmål her. Vi hjelper deg med overgangen til å overholde NIS2. Ta gjerne kontakt med oss!