NIS2-direktivet er en oppdatert og utvidet versjon av det opprinnelige NIS-direktivet som ble vedtatt av EU i 2016, og må implementeres innen 24. oktober 2024. Formålet med direktivet er å styrke cybersikkerheten og beskytte kritisk infrastruktur, som er essensielt for samfunnets funksjon og økonomi. NIS2 introduserer en rekke nye krav og standarder. Dette er avgjørende for å møte dagens stadig økende cybertrusler. Les hvordan NIS2 påvirker din virksomhet og hvilke tiltak som må utføres for å ikke risikere bøter.
Dette må du vite om endringene fra NIS1 til NIS2:
Sanksjoner ved manglende etterlevelse
NIS2-direktiver må bli innført innen 24. oktober 2024. Hvis en virksomhet ikke oppfyller kravene i NIS2-direktivet vil det bety betydelige bøter som kan nå opptil 10 millioner euro, eller 2% av den årlige omsetningen, avhengig av hvilket beløp som er høyest.
Utvidet omfang
NIS2 dekker et bredere spekter av sektorer og virksomheter, inkludert helsevesen, energi, transport, banktjenester, digitale infrastrukturer og offentlige forvaltninger.
Styrket samarbeid
Direktivet legger vekt på økt samarbeid og informasjonsdeling mellom medlemslandene for å bedre håndtere cybertrusler og hendelser.
Enhetlige standarder
NIS2 innfører ensartede sikkerhetskrav på tvers av EU, noe som bidrar til å redusere variasjoner i hvordan medlemslandene implementerer cybersikkerhetstiltak. Dette sikrer at alle virksomheter som opererer innenfor EU, møter de samme høye sikkerhetsstandardene.
Forbedret samsvarskontroll
Det er innført strengere mekanismer for tilsyn og håndheving av sikkerhetskravene, inkludert strengere sanksjoner for manglende overholdelse.
Gjelder NIS2 for deg?
NIS2 utvider omfanget betydelig og dekker flere bransjer, større selskapstyper, og har spesifikke krav til lokasjon.
Direktivet utvider de berørte bransjene til å inkludere:
- Energisektoren (som elektrisitet, olje og gass)
- Transportsektoren (luftfart, jernbane, vann- og veitransport)
- Bank- og finanssektoren (inkludert forsikrings- og betalingssystemer)
- Helsevesenet (sykehus, private klinikker, laboratorier)
- Vannforsyning og avløpsvannbehandling
- Digital infrastruktur (internettilbydere, datalagring, skytjenester)
- Offentlig administrasjon (sentral og regional myndighet)
Direktivet pålegger ikke bare store selskaper å etterleve nye sikkerhetsstandarder, men også mange små og mellomstore bedrifter (SMB) som opererer innenfor de nevnte kritiske sektorer. Kravene gjelder spesielt for selskaper som:
- Har mer enn 50 ansatte
- Har en årlig omsetning eller balanse over €10 millioner
- Er viktig for forsyningskjeder eller tjenester som anses som kritiske
Direktivet gjelder for alle selskaper som opererer innen EU, uavhengig av om de er basert i EU eller ikke. Dette betyr at også internasjonale selskaper som leverer tjenester til EU-markedet må etterleve NIS2-kravene. Hovedpunktene inkluderer:
- Alle EU-medlemsland må implementere direktivet i sine nasjonale lover.
- Selskaper utenfor EU som tilbyr tjenester til kunder innen EU, må oppfylle NIS2-kravene.
Hvilke nye krav og standarder må du forholde deg til?
Risikovurdering og sikkerhetspolicy
- Du må regelmessig gjennomføre risikovurderinger for å identifisere og analysere risikoer som kan påvirke sikkerheten til nettverks- og informasjonssystemer. Basert på risikovurderingen må du sørge for at det utvikles passende tiltak.
- Du må implementere en policy for cybersikkerhet som dekker organisatoriske og tekniske tiltak for å beskytte dine nettverks- og informasjonssystemer. Tiltakene skal være i samsvar med nivået på risikoene identifisert gjennom risikovurderingene.
Håndtering av sikkerhetshendelser og kontinuitetsplaner
- Du må etablere prosedyrer for å detektere, håndtere og rapportere sikkerhetshendelser. Du må ha evnen til å raskt identifisere og svare på sikkerhetshendelser, samt iverksette gjenopprettingstiltak for å redusere påvirkningen på systemer og tjenester.
- I tillegg er utvikling og vedlikehold av planer for kontinuitet og gjenoppretting av tjenester er påkrevd. Dette innebærer å ha strategier og prosesser på plass for å sikre rask gjenoppretting av kritiske funksjoner under og etter en hendelse.
Sikkerhet og opplæring
- Du må ta hensyn til sikkerheten i forsyningskjeden. Dette innebærer å sikre at deres leverandører og partnere har tilstrekkelige sikkerhetstiltak, og at de kan håndtere cybersikkerhetsrisikoer effektivt.
- Du skal også sørge for at ansatte som jobber med kritiske funksjoner får riktig opplæring i cybersikkerhet. Det oppfordres også til å fremme en organisasjonskultur som er bevisst på cybersikkerhet.
Kryptering og vedlikehold
- Implementering av kryptografiske metoder for å beskytte data under lagring og overføring er et krav. Organisasjonen din må sikre at det brukes passende krypteringsteknologier for å beskytte konfidensialitet, integritet og tilgjengelighet av data.
- Du må også sørge for at sikkerhet er integrert i hele livssyklusen til systemene og applikasjonene - fra design til avvikling. Dette innebærer også å sikre at systemer regelmessig oppdateres og vedlikeholdes for å forsvare seg mot nye trusler.
I tillegg til NIS2-direktivet, innfører EU flere viktige reguleringer for å styrke digital sikkerhet og regulere ny teknologi. CER (Critical Entities Resilience Directive) fokuserer på å forbedre robustheten til kritiske enheter mot både fysiske og digitale trusler, mens AI Act etablerer regler for bruk og utvikling av kunstig intelligens for å sikre at AI-systemer er trygge og respektfulle overfor grunnleggende rettigheter. Disse tiltakene kompletterer NIS2 og reflekterer EUs omfattende tilnærming til å håndtere utfordringer i det digitale landskapet.
Les mer om NIS2-direktivet her: https://www.nis-2-directive.com
Om Embriq
Vi er en ledende leverandør av avansert IT-drift, programvare, industriell IoT-teknologi og konsulenttjenester. Vi leverer løsninger som hjelper komplekse og transaksjonsintensive virksomheter med å optimalisere sin konkurransekraft. Med over 220 høyt dyktige og dedikerte ansatte betjener vi kunder i hele Norden – kunder som alle leverer samfunnskritiske tjenester.
