Artikkel
NIS2-direktivet: Hva er det og hvem gjelder det for?
Skjerpede sikkerhetskrav for leverandører av samfunnskritiske tjenester
Den digitale tidsalderen og det nåværende trussellandskapet øker kravene til offentlige og private virksomheter når det gjelder deres evne til å håndtere cybersikkerhetshendelser på en effektiv og korrekt måte. Digitale trusler har det siste tiåret hatt en voldsom utvikling, og samfunnskritiske aktører er stadig oftere det direkte eller indirekte målet for avanserte digitale angrep som kan medføre store internasjonale, sektorovergripende og samfunnsmessige konsekvenser.
Publisert: 4. august 2023
Hva er NIS2?
For å styrke det kollektivt digitale forsvaret av EU- og EØS-landene, vedtok EU i 2016 direktivet om nettverks- og informasjonssikkerhet (NIS), som hadde som mål å styrke EUs kollektive sikkerhet for kritiske infrastrukturer og digitale tjenester. 5. mai 2023 publiserte norske myndigheter utkastet til lov om digital sikkerhet som bygger på kravene stilt i NIS.
Nå står vi ovenfor en utvidelse av NIS-direktivet med implementeringen av NIS2, hvor EU søker å harmonisere cybersikkerhetskravene de stiller til medlemslandene, spesifisere og utvide hvem direktivet skal gjelde for og hvordan direktivet skal håndheves, samt gi regulerende nasjonale myndigheter anledning til å utstede bøter tilsvarende satsene som ble introdusert i GDPR-forordningen.
NIS2 ble formelt godkjent i januar 2023, så forutsatt at NIS2 tas inn i EØS-avtalen vil Norge og norske virksomheter forventes å være innrettet etter direktivet og en oppdatert nasjonal lov som bygger på direktivet innen 18. oktober 2024.
Direktivets formål
Direktivets formål er å skape et høyt felles nivå av sikkerhet på tvers av alle medlemslandene. I tillegg er målet å forbedre beredskapen til virksomheter som er en del av eller leverer tjenester til EUs indre marked, både private og offentlige, og de for de som leverer og støtter kritisk infrastruktur.
Direktivet inneholder også krav til EUs medlemsland og EU-institusjoner på overnasjonalt nivå. Blant annet har European Network and Information Security Agency (ENISA) i oppgave å publisere rammeverk for bruk i produkt-, tjeneste- eller prosess-sertifiseringer. På denne måten skal direktivet støtte et større løft for den kritiske infrastrukturen både i og på tvers av medlemslandene.
Skjerpede krav
Direktivet inneholder betydelige skjerpinger av tidligere sikkerhets- og beredskapskrav. Direktivet gir blant annet utvidede krav innen informasjons- og cybersikkerhet, som:
- Involvering av ledelsen i beslutningstaking
- Krav til informasjon og opplæring om informasjonssikkerhet
- Krav til leverandørstyring og verdikjederisiko
- Krav til risikostyring, håndtering og rapportering
- Krav til håndtering av sikkerhetshendelser og rapportering til relevante myndigheter
- Deling av sikkerhets- og trusselinformasjon med relevante myndigheter
- Krav til forretningskontinuitet og krisehåndtering
I tillegg inneholder direktivet krav til tiltak for deling av sikkerhets- og trusselinformasjon. Myndighetene i de enkelte medlemslandene skal sikre en ordning som kan understøtte deling av trusselinformasjon i og mellom relevante sektorer. Å dele denne informasjonen anses som en sentral del av motstandskraft på tvers av sektorer og medlemsland.
Hvem vil omfattes av NIS2-direktivet?
Langt flere bedrifter og organisasjoner vil bli underlagt NIS2 sammenlignet med NIS1. NIS2 skiller mellom to typer kategorier med sektorer som vil bli omfattet:
Essensiell entiteter (leverandører av):
- Energi (olje, elektrisitet, gass, hydrogen)
- Transport (luft, vei, jernbane, maritim)
- Bank
- Infrastruktur for finansielle markeder
- Vann og avløp
- Drikkevann
- Helsetjenester
- Offentlig administrasjon
- Romfart
Viktige entiteter:
- Post og kurer tjenester
- Produksjon og distribusjon av kjemikalier
- Matproduksjon, -prosessering og -distribuering
- Avfallshåndtering
- Digitale tjenestetilbydere
- Forskning
- Produksjon (medisinsk utstyr, elektronikk, maskiner, motorkjøretøy og annen transport)
Virksomheter med mindre enn 50 ansatte og en omsetning på mindre enn 10 millioner euro i årlig global omsetning forventes ikke å være underlagt direktivet, med mindre tjenesten som leveres vurderes av myndighetene til å være av en tilstrekkelig samfunnsmessig viktig art.
Vår anbefaling
Vi anbefaler at du allerede nå undersøker hvilken relevans NIS2 vil ha for akkurat din bedrift eller organisasjon. Utforming, planlegging, gjennomføring og drift av direktivets tiltak for tekniske og organisatoriske virkeområder kan ta tid og kreve involvering av flere av din virksomhets fagområder og ressurser.
Det er betydelige fordeler å hente ved å ligge i forkant med planlegging og igangsetting av eventuelle tiltak, for å sikre at man har avsatt riktig mengde ressurser til bl.a. sikkerhet og risikostyring.
Slik kan vi hjelpe deg
- En avklaring av om din virksomhet vil bli underlagt NIS2-direktivet
- En innledende dekning av NIS2-forskriftens betydning for bedriften/organisasjonen
- En strukturert og tidsriktig prosess som øker effektiviteten av ressursene som brukes og reduserer den samlede innvirkningen på daglig drift og planlegging
- Et veikart for en prosess som sikrer involvering av virksomhetens aktuelle interessenter
- Bekreftelse på etterlevelse av kravene stilt i NIS2-direktivet gjennom våre attestasjonstjenester
Trinnene ovenfor sikrer at arbeidet med de tekniske og organisatoriske tiltakene organiseres på en hensiktsmessig og strukturert måte, og at de fulle implikasjonene avdekkes.
I tillegg kan Deloitte hjelpe med gjennomføring av eventuelle tekniske og organisatoriske tiltak. Her kan Deloittes spesialister blant annet svare på sentrale spørsmål som:
- Hvis vi er underlagt NIS2-direktivet, i hvilken grad vil vi bli berørt?
- Er vår nåværende modenhet tilstrekkelig?
- Hvilke tekniske og organisatoriske tiltak må implementeres før man arbeider med NIS2-direktivet?
- Hvordan iverksetter vi nødvendige tiltak mest hensiktsmessig
Er du usikker på om ditt foretak vil omfattes av NIS2 eller har spørsmål om hvordan dere allerede nå kan gjøre tiltak for å sikre at dere etterlever direktivet? Kontakt oss gjerne. Du finner vår kontaktinformasjon under.
Les mer om våre tjenester: Cybersikkerhet
Forslag
Digital Operational Resilience Act (DORA) - Er din virksomhet klar?
EUs viktigste regulatoriske initiativ for operasjonell motstandskraft og cybersikkerhet
Cyberangrep: Hva gjør du?
Dette bør du gjøre før, under og etter et cyberangrep