Hva er NIS2 og hvordan etterlever du kravene?
Norge har anerkjent NIS2 som EØS-relevant og akseptabelt for Norge. Den norske regjeringen kunngjorde den 23. august 2023 at deres foreløpige vurdering er at NIS2 er relevant for EØS og akseptabelt for Norge.
Dette indikerer en intensjon om å implementere direktivet i norsk lov. NIS2-direktivet, som ble vedtatt i EU den 14. desember 2022, vil oppheve NIS1-direktivet fra 24. oktober 2024
Selv om NIS2-direktivet ennå ikke er inkludert i EØS-avtalen, og dermed ikke automatisk blir norsk lov, viser den norske regjeringens uttalelse en klar retning mot å implementere direktivets krav i Norge. Dette innebærer at norske virksomheter, spesielt de som opererer både i Norge og EU, bør forberede seg på å overholde NIS2-kravene.
.
Hvordan påvirker det deg?
NIS2 påvirker alle selskaper, organisasjoner og underlverandaører som er involvert i samfunnsviktige tjenester, uavhengig om de er private eller offentlige.
Sektorer som omfattes av NIS2 inkluderer alt fra vannforsyning, bank, helse til transport og matproduksjon.
Det er viktig å merke seg at NIS2 også vil gjelde underleverandører til selskaper som havner under NIS2 krav.
Direktivet er svært detaljert når det gjelder de ulike verktøyene og prosessene som selskapene og organisasjonene må bruke for å være i samsvar med NIS2.
Det er visse minimumstiltak eller krav i artikkel 21 i direktivet, som inkluderer:
– Risikovurderinger og sikkerhetspolicyer for informasjonssystemer
– Prosedyrer for å evaluere effektiviteten av sikkerhetstiltak
– En plan for håndtering av sikkerhetshendelser
– Sikkerhet rundt anskaffelse av systemer og utvikling og drift av systemer
– Cybersikkerhetstrening og en praksis for grunnleggende datavernetiltak
– Sikkerhetsprosedyrer for ansatte med tilgang til sensitiv eller viktig data
– En plan for å håndtere forretningsdrift under og etter en sikkerhetshendelse
Sikkerhet i leverandørkjeder
Under NIS 2 må selskaper inkludere sikkerhetsbestemmelser i kontrakter med leverandører og tjenesteleverandører. I tillegg kan IT-produkter og -tjenester som brukes av viktige eller essensielle enheter kreve cybersikkerhetssertifisering i henhold til et europeisk ordning.
Det er lett å forestille seg hvordan fokus på forsyningskjedeangrep og vurdering av leverandører av større selskaper vil føre til et generelt krav om å styrke sikkerhetsposisjonen til alle leverandører uavhengig av størrelse, spesielt siden risikoen for å kompromittere et selskaps cybersikkerhet faller tilbake på toppledelsen.
Vil bedriften din være i stand til å møte NIS 2-sikkerhetskravene?
Ta vår sikkerhetstest og få en vurdering av bedriftens nåværende sikkerhetspraksis. Vår test gir deg en score som indikerer om du har lav, middels eller sterk sikkerhet, og gir verdifull innsikt for å forbedre din bedrifts sikkerhetsposisjon. Klar til å ta testen? Trykk på knappen nedenfor.
Vil du vite mer om våre løsninger?
Ring oss på telefon 38 99 01 18 eller fyll ut kontaktskjemaet under så kontakter vi deg så snart som mulig.