NIS2 er etterfølgeren til den opprinnelige direktivet, Network and Information Security (NIS), fra 2016. Bakgrunnen for revisjonen av direktivet er en økende cybertrussel, som utgjør en risiko for EUs indre marked. Aaktørene bak spenner fra amatører til cyberkriminelle og statssponsede aktører.
Skadene som disse truslene kan forårsake kan spre seg gjennom sårbare forsyningskjeder og kritisk infrastruktur, og dermed forårsake store skader på samfunnet, økonomien og virksomhetene. Derfor er det behov for beskyttelse på et nytt og enhetlig nivå.
Det reviderte NIS2-direktivet har som mål å sikre:
Direktivet skal implementeres i lovgivningen innen oktober 2024, og deretter er det pålagt samsvar med lovgivningen for berørte selskaper. Det er ennå ikke kunngjort en spesifikk tidsplan av myndighetene.
Det er flere endringer i forhold til det forrige NIS-direktivet. Endringene kan deles inn i de som har implikasjoner for nasjonale myndigheter og de som har implikasjoner for enkelte selskaper.
For nasjonale myndigheter er det flere endringer og initiativer som styrker samarbeidet på tvers av grenser i EU. Dette inkluderer opprettelsen av organisasjoner som vil arbeide med forebyggende tiltak, inkludert nært samarbeid med ENISA (European Network and Information Security Agency), og korrigerende tiltak som sikrer at større cyberhendelser kan håndteres på EU-nivå gjennom en nyopprettet enhet kalt "EU CyCLONe" (Cyber Crises Liaison Organization Network).
For organisasjoner og selskaper er endringene knyttet til fire områder:
Risikostyring og sikkerhetstiltak
Det er strengere krav om å basere kontrolltiltak på risikovurderinger.
Varslingsplikter
Det er ensartede krav vedrørende tidspunkt og mottakere for rapportering av en cyberhendelse. Hendelsen må rapporteres til tilsynsmyndighetene innen 24 timer, dersom den anses å være kritisk. En rapport som oppsummerer hendelsen, inkludert hvordan den ble håndtert, må leveres innen 72 timer. Så må en endelig rapport sendes innen én måned.
Forpliktelse fra ledelsen
Det legges større vekt på ledelsens deltagelse i forebygging og håndtering av cyberhendelser, både nasjonalt og innenfor hver virksomhet. Det betyr at selskapets ledelse kan holdes personlig ansvarlig for sikkerhetsbrudd i henhold til NIS2-direktivet.
Overvåkning, håndhevelse og sanksjoner
I likhet med GDPR, blir det mulig å ilegge bøter til organisasjoner og selskaper som ikke overholder direktivet. Organisasjoner eller selskaper kan potensielt få bøter på opptil 10 millioner euro eller 2 % av organisasjonens årlige globale omsetning.
Hvis din virksomhet er underlagt NIS-direktivet og dermed må overholde NIS2, kan det være flere spørsmål du ønsker å få besvart:
Den gode nyheten er at hvis din virksomhet er underlagt NIS2-krav, er det sannsynlig at dere allerede jobber med ISO 27001. Dersom dere er compliant med ISO 27001, er dere også langt på vei når det gjelder NIS2-compliance.
Hvis dere ennå ikke jobber med ISO 27001, er det akkurat der dere bør begynne, og vi kan definitivt hjelpe dere med det. Sett opp et uforpliktende møte med oss her.
Hvis du ønsker å lese mer om tiltakene og endringene som du som informasjonssikkerhetsansvarlig bør vurdere hvis du er underlagt NIS2-regelverket, kan du lese artikkelen "Hvordan vil NIS2 påvirke en informasjonssikkerhetsansvarlig?"
Det er pr i dag sektoransvar for forebygging av cyberhendelser som praktiseres. Det er forventet at det i fremtiden utnevnes en felles tilsynsmyndighet (CSIRT), og tilsyn vil bli utført gjennom denne myndigheten. Veiledning og råd forventes også fra denne eller andre EU-organiserte kunnskaps- og kompetansesentre.
Hvilke sektorer og selskaper omfattes av NIS2-direktivet?
NIS2 har ulike kriterier for å avgjøre hvem som omfattes av direktivet. Deres virksomhet omfattes av NIS2-direktivet dersom det kommer inn under en av følgende kategorier:
Kriterier for kritisk infrastruktur og virksomheter som utfører viktige funksjoner i samfunnet
Størrelseskriterier
Hvis virksomheten er leverandør til et selskap som kommer inn under de to første kategoriene
Følgende sektorer og bransjer er valgt i kategorien betydningsfulle organisasjoner og selskaper:
I kategorien essensielle organisasjoner og selskaper er følgende sektorer og bransjer valgt:
Størrelseskriteriene foreskriver (med få unntak) at et selskap omfattes av NIS2 hvis alle tre av følgende underkriterier er oppfylt:
Din virksomhet kan omfattes av direktivet, selv om dere ikke kommer inn under de nevnte kriteriene, dersom dere er underleverandør til et selskap omfattet av NIS2.
