Temaside - NIS2

NIS står for nettverks- og informasjonssikkerhet og er et direktiv som skal styrke det digitale forsvaret i EU- og EØS-land. Direktivet ble vedtatt i EU allerede i 2016, og nå står vi foran en utvidelse med implementeringen av NIS2.

Den norske loven om digital sikkerhet er basert på NIS1, men det er ventet at den vil bli oppdatert for å inkludere NIS2. I EU trer NIS2 i kraft fra oktober 2024. Mange norske selskaper forholder seg allerede til kravene i NIS2, ettersom direktivet antas å bli innlemmet i norsk lov.

NIS2 pålegger virksomheter i kritiske sektorer som blant annet energi, transport, helse og finans å gjennomføre risikohåndteringstiltak og rapportere cyberhendelser. Direktivet utvider antall virksomheter som omfattes av kravene og innfører strengere tilsyn og sanksjoner ved brudd. Målet er å beskytte kritisk infrastruktur og sikre bedre samarbeid mellom landene.

Hvorfor er NIS2 viktig?

NIS2 er viktig fordi det styrker cybersikkerheten og beskytter kritisk infrastruktur i EU- og EØS-land. Det skjerper kravene til risikohåndtering, rapportering og samarbeid for å håndtere økende cybertrusler. Direktivet utvider hvilke virksomheter som omfattes og gir bedre tilsyn og sanksjonsmuligheter. Dette bidrar til økt robusthet og motstandskraft mot digitale angrep. For norske virksomheter sikrer NIS2 tilpasning til europeiske sikkerhetsstandarder.

Hvilke krav NIS2 stiller til bedriftene

Risikohåndtering:

Bedrifter må analysere sine systemer for potensielle trusler og sårbarheter, samt implementere tiltak som brannmurer, oppdateringer og opplæring av ansatte for å redusere risiko.
Hendelsesrapportering:

Cyberangrep og alvorlige sikkerhetshendelser skal rapporteres til relevante myndigheter, ofte innen 24 timer, for å sikre rask respons og redusere skader.
Tilgangskontroll og sikkerhetstiltak:

Bedrifter må sørge for sikre systemer ved å bruke tiltak som multifaktorautentisering, regelmessige oppdateringer og overvåking av uvanlig aktivitet.
Samarbeid og informasjonsdeling:

Bedrifter må bidra til felles cybersikkerhet ved å dele kunnskap om trusler og angrep gjennom samarbeid med andre aktører og myndigheter.
Overholdelse av tilsyn og sanksjoner:

Virksomheter må dokumentere at de følger kravene i NIS2 og risikerer bøter eller andre sanksjoner dersom de ikke etterlever regelverket.

Blir alle bedrifter berørt av NIS2-direktivet?

NIS2 gjelder ikke automatisk for alle bedrifter. Det er en kombinasjon av kriterier som avgjør om en bedrift omfattes av direktivet:

Størrelse: Bedrifter som har over 50 ansatte og/eller en årlig omsetning eller balansesum på mer enn 10 millioner euro, kan omfattes. Men størrelsen alene er ikke nok.
Kritisk bransje: Bedriften må også være en del av en av de kritiske sektorene eller tjenestene som omfattes av NIS2. Dette inkluderer blant annet energi, helse, transport, finans, vannforsyning, og IKT-tjenester.
Relevans for samfunnskritiske funksjoner: Selv små eller mellomstore bedrifter (under 50 ansatte) kan bli inkludert dersom de leverer tjenester som anses kritiske for samfunnets funksjon eller er av stor betydning for økonomien.

Kort sagt: En bedrift med over 50 ansatte eller en balansesum på over 120 millioner kroner må også være i en relevant sektor eller levere samfunnskritiske tjenester for å omfattes av NIS2. Det betyr at direktivet ikke gjelder generelt for alle bedrifter basert kun på størrelse eller omsetning.

Følgende sektorer regnes som kritiske og viktige sektorer i følge NIS2-direktivet:

Kritiske sektorer

Energi
Transport
Bank
Infrastruktur mot finansielle markeder
Vann og avløp
Drikkevann
Helsetjenester
Offentlig administrasjon
Romfart

Viktige sektorer

Post og kurer tjenester
Produksjon og distribusjon av kjemikalier
Matproduksjon, – prosessering og -distribuering
Avfallshåndtering
Digitale tjenestetilbydere
Forskning
Produksjon av elektronikk, medisinsk utstyr mv.

Blir regnskapskontorer berørt av NIS2?

Regnskapskontorer kan potensielt komme inn under NIS2-direktivet, avhengig av deres størrelse, tjenester, og hvilken rolle de spiller i kritisk infrastruktur eller samfunnsviktige tjenester.

NIS2 gjelder for virksomheter som faller inn under kategoriene vesentlige og viktige enheter. Dette inkluderer mange sektorer som finansielle tjenester, IT-leverandører og selskaper som håndterer kritisk informasjon. Hvis et regnskapskontor leverer tjenester som er avgjørende for driften av selskaper innenfor kritisk infrastruktur eller samfunnsviktige funksjoner, kan de bli berørt.

Les artikkelen

Rapportering og lederansvar

Krav til rapportering ved hendelser
Krav om implementering av tekniske og organisatoriske sikkerhetstiltak
Krav til risikostyring og sikkerhetsvurdering for å identifisere, vurdere og redusere risiko

Ved hendelse….

✓ Initiell varsel: 24 timer – kort beskrivelse. Potensiell ulovlig eller annen ondsinnet aktivitet eller grenseoverskridende konsekvenser

✓ Hendelsesvarsling: Sendes senest 72 timer med oppdatert informasjon og en foreløpig vurdering av hendelsens alvorlighetsgrad og virkning

✓ Mellomrapport: Sendes etter forespørsel fra CSIRT elle kompetent nasjonal myndighet

✓ Sluttrapport: Sendes senest en måned etter hendelsesvarslingen. Rapporten skal gi en grundig beskrivelse av rotårsak, eventuelle begrensende tiltak og eventuelle grenseoverskridende effekter

Eventuelle sanksjoner

Sammenlignet med NIS1 stiller NIS2 strengere krav til tilsyn for å sikre etterlevelse av direktivet. Tilsynet vil være mer omfattende for vesentlige sektorer enn for viktige sektorer, noe som reflekterer deres betydning for samfunnets kritiske funksjoner.

Manglende etterlevelse av NIS2 kan føre til betydelige bøter:

Viktige sektorer risikerer bøter på opptil 7 millioner euro eller 1,4 % av deres globale årlige omsetning, avhengig av hvilket beløp som er høyest.
Vesentlige sektorer kan få bøter på opptil 10 millioner euro eller 2 % av deres globale årlige omsetning, avhengig av hvilket beløp som er høyest.

Teknologiske og organisatoriske krav

NIS2-direktivet fastsetter tydelige retningslinjer for teknologiske krav som er avgjørende for å styrke sikkerheten til digitale tjenester og kritisk infrastruktur. Disse kravene, som er beskrevet i artikkel 21 i NIS2-direktivet, utgjør en helhetlig tilnærming til nettverks- og informasjonssikkerhet og vil sannsynligvis bli obligatoriske for alle virksomheter som omfattes av direktivet.

De teknologiske kravene inkluderer:

(a) Retningslinjer for risikobasert analyse og sikkerhet i informasjonssystemer
(b) Håndtering av sikkerhetshendelser
(c) Beredskapsplaner, som backup-håndtering, katastrofegjenoppretting og krisehåndtering
(d) Sikkerhet i leverandørkjeden, inkludert forholdet til direkte leverandører og tjenestetilbydere
(e) Sikkerhet i anskaffelse, utvikling og vedlikehold av nettverk og informasjonssystemer, inkludert håndtering og rapportering av sårbarheter
(f) Retningslinjer og prosedyrer for å vurdere effektiviteten av tiltak for styring av cybersikkerhetsrisiko
(g) Grunnleggende cybersikkerhetstiltak og opplæring i cybersikkerhet
(h) Retningslinjer og prosedyrer for bruk av kryptografi og, der det er relevant, kryptering
(i) Sikkerhet knyttet til menneskelige ressurser, tilgangskontroll og håndtering av eiendeler
(j) Bruk av flerfaktorautentisering eller kontinuerlige autentiseringsløsninger, sikre kommunikasjonsmidler for tale, video og tekst, og sikre nødkommunikasjonssystemer, der det er relevant

Disse teknologiske og organisatoriske kravene er utformet for å støtte de seks hovedpilarene som NIS2-direktivet bygger på og er essensielle for å etablere en robust og pålitelig sikkerhetsstruktur.

Hva kan Sodvin hjelpe med?

Vår første anbefaling er at dere undersøker om deres bedrift faller inn under NIS2-direktivet. Gjennomføring av tiltak for å etterkomme NIS2 kan være tidkrevende, så vi anbefaler at dere ikke venter til siste liten.

Sodvin kan fastslå om deres bedrift blir underlagt NIS2, men vi kan bistå med rådgivning og veiledning for å sikre at dere etterlever de teknologiske kravene i NIS2. Våre tjenester dekker en rekke av disse kravene.

Se noen av tjenestene i On-Guard