Store og små norske virksomheter må forholde seg til en rekke ulike lover, regelverk og retningslinjer. Direktiver fra EU er også en viktig del av norsk lovgivning, gjennom EØS-samarbeidet der Norge plikter å innføre store deler av EUs regelverk i norsk lov. Som en følge av disse mekanismene er også det såkalte NIS2-regelverket relevant for mange norske virksomheter.
Hva er egentlig NIS2-direktivet?
Det såkalte NIS2-direktivet er en oppdatering av det eldre NIS-direktivet. Det tidligere regelverket ble implementert allerede i 2018, og gitt temaet er reglene klare for en overhaling. Forkortelsen «NIS» står nemlig for «Network and Information Systems», og NIS2 krav dreier seg derfor om et bredt spekter av områder relatert til nettverks- og informasjonssikkerhet.
Fristen for implementering av NIS2er innen oktober 2024, noe som betyr at alle virksomheter som er omfattet av direktivet må ha et forhold til regelverket per nå. NIS2 bygger på kjerneverdier som forebygging, beredskap og åpenhet, viktige drivere når man jobber med digitale trusler. NIS2 har dessuten ekstra fokus på virksomheter som er kritiske for samfunnet som helhet.
Konkrete krav i NIS2-direktivet
NIS2-direktivet inneholder flere formuleringer som setter kravene opp mot de unike særtrekkene til en spesifikk organisasjon. For eksempel stilles det krav til «hensiktsmessige og forholdsmessige» tiltak rettet mot risikohåndtering. Samtidig er det mulig å fremheve noen spesifikke tiltak som er obligatoriske:
- Håndtering av hendelser. Virksomheten må ha en tydelig og effektiv plan for håndtering av for eksempel cyberangrep og andre uønskede hendelser.
- Sikkerhetskopiering og krisehåndtering. Såkalte «løsepengevirus» har skapt enorme problemer for mange bedrifter og myndigheter, derfor er sikkerhetskopiering avgjørende.
- Sikkerhet knyttet til leverandører. En virksomhet må ha et forhold til sikkerhetsaspekter ved hele leverandørkjeden, inkludert underleverandører, partnere og tjenesteleverandører.
- Opplæring og oppfølging. Ansatte må få tilstrekkelig opplæring, og rutiner må følges opp og revideres ved behov.
- Fysisk sikring og kryptering. Fysisk tilgangskontroll er viktig selv i en digital verden, det samme gjelder for nettverkstilganger og kryptering.
Hvem er omfattet av NIS2-kravene?
Det opprinnelige NIS2-direktivet omfattet et begrenset utvalg virksomheter, men med NIS2 er omfanget betydelig utvidet.
Aktiviteter knyttet til for eksempel digital infrastruktur, vannforsyning, energi, finans, luftfart, helse, transport og offentlig administrasjon er sentrale områder som må sikres etter NIS2-direktivet. Videre er tjenester innenfor områder som post- og budtjenester, avfallshåndtering, produksjon av kjemikalier, matproduksjon og produksjon av medisinsk utstyr regulert.
Helt til slutt er også både søkemotorer, sosiale nettverksplattformer og markedsplasser på nett omfattet av NIS2-direktivet, noe som viser hvor omfattende dette regelverket er.