NIS2: Nytt cybersikkerhetsdirektiv fra EU
NIS2 representerer et betydelig skritt fremover for å styrke cybersikkerheten på tvers av EU. Det krever at virksomheter og myndigheter samarbeider mer effektivt for å beskytte kritisk infrastruktur og digitale tjenester mot stadig mer komplekse trusler.
Strategisk rådgiver
NIS2-direktivet, er en oppdatering av det opprinnelige NIS-direktivet (Network and Information Security Directive) fra 2016, som ble vedtatt av EU i november 2022. Direktivet trer i krav fra 18. oktober 2024 i EU, og skal inn i norsk lovverk etter hvert. Målet med direktivet er å styrke cybersikkerheten i medlemslandene.
Hva betyr NIS2?
- Flere sektorer: NIS2 dekker flere sektorer enn det opprinnelige direktivet. Det inkluderer nå sektorer som energi, transport, helsevesen, digital infrastruktur, offentlig administrasjon, samt visse tjenester innen IKT og forsyningskjeder. Dette betyr at flere typer virksomheter nå må følge kravene.
- Strengere sikkerhetskrav: NIS2 innfører detaljerte krav til cybersikkerhetstiltak. Dette omfatter blant annet risikostyring, sikkerhetsarkitektur, og beredskapstiltak. Virksomheter må implementere tekniske og organisatoriske tiltak for å håndtere risikoer og minimere innvirkningen av sikkerhetshendelser.
- Rapporteringsplikt: Virksomheter som omfattes av NIS2 må rapportere cybersikkerhetshendelser innen 24 timer etter at hendelsen er oppdaget. Rapporteringen skal omfatte en innledende vurdering av omfanget og virkningen av hendelsen, og ytterligere rapporter kan kreves etter mer detaljert analyse.
- Tilsyn og sanksjoner: Direktivet gir nasjonale myndigheter økt tilsynsmyndighet og mulighet til å ilegge strengere sanksjoner ved manglende etterlevelse. Sanksjonene kan inkludere betydelige bøter, og det er forventet at håndhevingen av reglene vil være mer konsekvent på tvers av medlemslandene.
- Tverrsektoriell samarbeid: NIS 2 oppfordrer til økt samarbeid mellom offentlige og private aktører, samt mellom EU-medlemslandene. Dette inkluderer informasjonsdeling, felles respons på cybersikkerhetstrusler, og utvikling av felles standarder og beste praksis.
- Forsyningskjede sikkerhet: Direktivet legger stor vekt på sikkerhet i forsyningskjeden. Virksomheter må vurdere sikkerheten til sine leverandører og partnere, og ta hensyn til risikoer som oppstår gjennom eksterne avhengigheter.
- Krav til styringsstrukturer: NIS2 krever at styrende organer i selskaper har tilstrekkelig kompetanse på cybersikkerhet, og at de tar aktiv del i beslutninger om virksomhetens sikkerhetsstrategi.
Med de nye kravene i NIS2-lovverket, må flere virksomheter enn før kunne dokumentere at de har robuste sikkerhetstiltak på plass. Atea Custos er en tjeneste som ivaretar virksomheters behov for å identifisere, bearbeide og forbedre sikkerhetsnivået, og åndigheter, samarbeidspartnere, kunder og leverandører.