NIS2-deadline nærmer seg – dette bør du gjøre nå

I dagens digitale landskap er cybersikkerhet viktigere enn noen gang. EU har tatt et stort skritt for å styrke denne sikkerheten ved å vedta NIS2-direktivet – et direktiv de fleste har et forhold til allerede. Med kun måneder igjen før deadline, er det på tide å finne ut hva dette betyr for deg.

I denne artikkelen skal vi sammen med vår Head of Operations, Erlend Helgesen, ta for oss de viktigste kravene som NIS2 stiller, og ikke minst hva som er lurt å gjøre allerede nå.

Som driftsjef sitter han tett på markedet og har tidligere jobbet med store norske selskaper som Telenor, DNB, Sparebank 1, Bertel O. Steen og Statkraft.

Hva er NIS2?

NIS2 ble vedtatt i slutten av 2022 og er en videreutvikling av NIS1 fra 2018 med målet om å forbedre motstandsdyktigheten i nettverks- og informasjonssystemer på tvers av EU/EØS.

NIS1 avslørte nemlig flere svakheter ved datidens tilnærming – og til dels nåtidens – tilnærming til cybersikkerhetskrav. Denne delvis fragmenterte tilnærmingen medførte store økte kostnader for virksomheter, spesielt dem som opererer i flere land.

– Med NIS2 ønsker EU å redusere fragmentering og samtidig effektivisere samarbeidet mellom nasjonale myndigheter. Dette setter strengere krav nasjonalt til sikkerhet og risikostyring for bedrifter i mange sektorer. 

"Det skader ikke å være tidlig ute, men det kan bli veldig dyrt å være for sen" - Erlend Helgesen, Head of Operations

Hvem berøres av NIS2?

• Energi
• Transport
• Bank og finanssektoren
• Helse
• Drikkevann og avløpsvann
• Digital infrastruktur
• IKT-tjenester
• Offentlig forvaltning
• Romvirksomhet
  

I tillegg inkluderes også post- og kurertjenester, avfallshåndtering, matproduksjon, produksjon av elektronikk og medisinsk utstyr, og forskning.

En fin tommelfingerregel er om din virksomhet har 50 eller flere ansatte, eller en årlig omsetning på mer enn 100 millioner – hvis ja, er du mest sannsynlig berørt, sier Helgesen.

Nye, skjerpede sikkerhetskrav

Ifølge Erlend er hovedmålet med NIS2 veldig enkelt – virksomheters motstandskraft mot cybertrusler må forbedres.

- På et overordnet nivå kan man dele opp sikkerhetskravene i tre kategorier

1. Risikostyring og vurdering:
   NIS2 krever at virksomheter gjennomfører grundige risikovurderinger av sine nettverks- og informasjonssystemer. Dette inkluderer Managed detection and response (MDR) og vurdering av risiko knyttet til dine forsyningskjeder og tredjepartsleverandører. Et av de viktigste holdepunktene fra NIS2-direktivet er å ha en helhetlig forståelse av mulige trusler og sårbarheter som kan påvirke din virksomhet.
   
   
2. Sikkerhetstiltak: 
   Ved identifisering av risikoer, må du ha implementert tekniske og organisatoriske tiltak for å håndtere aktuelle risikoer. Dette kan omfatte oppdatering av programvare og maskinvare, bruk av kryptering, styrking av tilgangskontroller og regelmessige sikkerhetsrevisjoner. Målet er å sikre en høy standard for beskyttelse mot cybertrusler.
   
   
3. Hendelsesrapportering:
   Virksomheten din må ha gode rutiner og prosedyrer for å rapportere betydelige hendelser. NIS2 innfører strengere krav til hva som regnes som en betydelig hendelse, og hvor raskt disse må rapporteres. Å ha en effektiv hendelsesrapportering kan minimere skadeomfanget og forbedre responsen på cyberangrep. 

"Vær bevisst på at med NIS2 blir du selv holdt ansvarlig for dine partneres sikkerhetsrisiko" - Erlend Helgesen, Head of Operations

Slik håndheves NIS2

Med strengere regler, kommer også strengere håndheving. NIS2-regelverket skal håndheves hos alle berørte virksomheter fra oktober 2024. Dersom du ikke er i tråd med det nye direktivet innen det, kan det medføre strenge sanksjoner.

I følge Helgesen kan brudd på NIS2-direktivet gi bøter på opp mot 10 millioner euro eller opp til 2 % av virksomhetens totale omsetning.

– Det er ingen tvil om at det kan svi skikkelig å ikke være i samsvar med regelverket, fortsetter han.

Vi kategoriserer handhevingen som følger:

1. Uanmeldte inspeksjoner:
   For kritiske tjenesteleverandører kan myndighetene gjennomføre uanmeldte inspeksjoner for å sikre at sikkerhetstiltakene er på plass og fungerer som de skal. Dette innebærer at virksomheten må være kontinuerlig forberedt og opprettholde sine sikkerhetstiltak til enhver tid.
   
   
2. Dokumentasjon og revisjoner:
   Virksomheter må dokumentere sine sikkerhetsprosedyrer og tiltak grundig. Dette kan inkludere alt fra risikoanalyser til beredskapsplaner. Regelmessige revisjoner kan bli gjennomført for å sikre at dokumentasjonen er oppdatert og i tråd med kravene.
   
   
3. Sanksjoner og konsekvenser: 
   For dem som ikke etterlever NIS2-direktivet vanker det bøter som kan nå opp til 10 millioner euro eller 2 % av virksomhetens omsetning.

"Det å sikre etterlevelse ikke bare en juridisk nødvendighet, men også en økonomisk prioritet" – Erlend Helgesen, Head of Operations 

Hva bør du gjøre nå?

Selv om NIS2 trer i kraft i oktober 2024, kan det være lurt å allerede nå undersøke i hvilken grad man berøres av de nye reglene.

– Det finnes internasjonale standarder som hjelper virksomheter med å administrere informasjonssikkerhet, blant annet ISO 27001- og CIS-rammeverket. Disse rammeverkene kan hjelpe virksomheter på veien mot å bli compliant. Det kan også være lurt å få ekstern bistand til implementeringen, sier Helgesen.

1. Gjennomfør en omfattende risikovurdering:
   Identifiser og vurder risikoene som din virksomhet står overfor.
   
   
2. Oppdater sikkerhetsprosedyrer og tiltak:
   Sørg for at de tekniske og organisatoriske tiltakene er i samsvar med de nye kravene.
   
   
3. Etabler effektive rapporteringsprosedyrer:
   Sikre at du kan rapportere betydelige hendelser raskt og effektivt.
   
   
4. Forbered deg på tilsyn og inspeksjoner: 
   Dokumenter sikkerhetsprosedyrer og vær klar for potensielle uanmeldte inspeksjoner.

Helgesens siste tips er å være så proaktiv som mulig.

– Det skader ikke å være tidlig ute, men det kan bli veldig dyrt å være for sen, avslutter han med et smil.