NIS2 – hvordan påvirkes din virksomhet?
Hva er NIS2?
NIS står for security of network and information systems. Det første NIS-direktivet ble vedtatt av Europaparlamentet og -rådet i 2016. Det nye NIS2-direktivet kan beskrives som en utvidelse av NIS. Formålet er å skape felles juridiske rammeverk for cybersikkerhet i EU-landene, for å på sikt øke cyberresiliensen i unionen.
– Innføringen av NIS2 er en game-changer for cybersikkerhet i EU. Å handle tidlig vil spare både tid og ressurser i fremtiden, samtidig som det øker selskapets troverdighet, sier Johan Caripson, Commercial Business Manager i GlobalConnect.
Viktige endringer med NIS2
Tre sentrale forskjeller fra det tidligere NIS-direktivet:
1. NIS2 omfatter flere sektorer
Det første NIS-direktivet gjaldt «leverandører av samfunnsviktige tjenester» innen bank, energi, helse, transport, digital infrastruktur og drikkevann. NIS2 utvider dette til å inkludere flere sektorer, som offentlig forvaltning, avløpshåndtering og forvaltning av IKT-tjenester.
2. Tydeligere sikkerhetskrav
Med NIS2 innføres et minimumskrav til tiltak, blant annet håndtering av risiko i leverandørkjeden. Medlemslandene skal sikre at berørte aktører gjennomfører tekniske, operasjonelle og organisatoriske tiltak for å styrke cybersikkerheten. Dette innebærer blant annet rutiner for cyberhygiene, Zero Trust-prinsipper, medarbeideropplæring og systemgjennomgang.
3. Mer detaljert rapportering ved hendelser
Aktørene må rapportere alvorlige sikkerhetshendelser på et mer detaljert nivå enn tidligere.
Hvem omfattes av NIS2?
Generelt gjelder direktivet for virksomheter som leverer samfunnsviktige eller samfunnskritiske tjenester og som oppfyller bestemte størrelseskriterier.
Virksomhetene kan deles inn i to “kategorier”:
– Vesentlige enheter: Virksomheter i høykritiske sektorer med strengere tilsyn og høyere sanksjoner ved brudd..
– Viktige enheter: Virksomheter i øvrige kritiske sektorer. Disse får lavere sanksjonsnivå, men må likevel oppfylle sikkerhetskravene.
For å omfattes må virksomheten vanligvis være et mellomstort eller stort selskap – definert som mer enn 50 ansatte eller en årlig omsetning/balanse som overstiger 10 millioner euro. Det finnes unntak for enkelte spesielt kritiske tjenester, som tilbydere av elektroniske kommunikasjonsnett eller digitale tjenester.
Tidsplan for NIS2 i Norge
Konsekvenser ved manglende etterlevelse
Dersom virksomheten omfattes av NIS2, men ikke oppfyller kravene, kan det medføre bøter på opptil 10 millioner euro eller 2 % av selskapets globale omsetning.
3 steg for å forberede virksomheten på NIS2
1. Utgå fra at dere omfattes
Usikker på om din virksomhet berøres? Da er det tryggest å anta at dere gjør det – enten direkte eller som en del av en leverandørkjede. Økt cybersikkerhet er alltid en investering, og stadig flere kunder vil kreve NIS2-etterlevelse hos underleverandører.
2. Start tidlig med evaluering og planlegging
Fra å vurdere dagens situasjon til å oppgradere løsninger, etablere rutiner og trene ansatte – prosessen tar ofte lengre tid enn antatt. Å vente og se hva andre gjør kan være en risikabel strategi.
3. Avsett ressurser og effektiviser
Kostnaden for å bli NIS2-compliant varierer, men de fleste må øke IT-budsjettet eller bruke eksisterende midler smartere. Et alternativ er å samle nettverkstjenester hos én leverandør for mer effektiv ressursbruk.
NIS2 gjør cybersikkerhet til en budsjettprioritet
Mange IT-ledere opplever allerede at budsjettet ikke er tilstrekkelig, ifølge undersøkelser. Samtidig blir cyberangrepene flere, mens investeringene i sikkerhet henger etter.
NIS2 gir IT-sjefer sterke argumenter for å øke budsjettet:
I forlengelsen vil NIS2 heve standarden for IT-sikkerhet generelt – og ingen vil være den aktøren som fremstår som et mindre sikkert alternativ.
Vil du lære mer om NIS2?
Se vårt innspilte webinar, hvor cybersikkerhetseksperter forklarer hvordan en moderne SOC-tjeneste fungerer – og hvordan du kan gjøre virksomheten klar for NIS2.