NIS2 er et EU-direktiv som erstatter det eksisterende NIS-direktivet, som har vært gjeldende siden 2013. NIS står for Network and Information Systems. Direktivet gjelder for hele EU og har som mål å sikre at vi får et høyt og enhetlig nivå av cyber- og informasjonssikkerhet, slik at vår kritiske infrastruktur og samfunnskritiske tjenester er bedre rustet mot havari og cybertrusler utenfra.
Det nye NIS2-direktivet omfatter langt flere sektorer enn tidligere, og direktivet både skjerper kravene til tilsyn og innfører at ledelsen kan holdes personlig ansvarlig dersom de bryter loven.
Hvem dekkes av NIS2?
NIS2 dekker langt flere sektorer enn det opprinnelige NIS-direktivet. Alle aktører innen kritisk infrastruktur er dekket, inkludert deres leverandører. Direktivet spesifiserer 17 segmenter: energi, transport, finans (bank), finansmarkedsinfrastruktur, helse, drikkevann, avløpsvann, digital infrastruktur, offentlig administrasjon, verdensrommet, post, avfallshåndtering, kjemikalier, mat, digitale leverandører, utdanning og forskning.
Mindre bedrifter med færre enn 50 ansatte eller med en omsetning på under 10 millioner euro er i utgangspunktet ikke dekket. Det er imidlertid flere unntak. Videre er det opp til norske myndigheter å spesifisere hvem som er dekket i Norge.
Direktivet skiller mellom «essensielle» og «viktige» segmenter, og avhengig av hvilket segment du tilhører er det ulike krav.
NIS2 kort forklart
Formålet med NIS2-direktivet er mangefasettert, men essensen er å styrke EUs sikkerhet og sikre felles grunn på tvers av medlemslandene. Både forståelse og implementering av cybersikkerhet dekkes i direktivet, som også gjelder både offentlig sektor og private aktører.
Når trer NIS2 i kraft?
Direktivet skal først implementeres som lovgivning i de respektive land, og de berørte selskapene får deretter en overgangsperiode før de må etterleve lovgivningen. På grunn av den geopolitiske situasjonen forventer vi en rask ekspedisjon fra de norske myndighetene – kanskje allerede i 2023. NIS2 må imidlertid implementeres i alle dekkede europeiske selskaper, myndigheter og organisasjoner senest i 2024. Etter dette vil det være lokale myndigheter som må håndheve direktivet, akkurat som det skjer i dag med GDPR.
Hva er kravene til NIS2?
Kravene i NIS2 inkluderer blant annet:
- Retningslinjer for risikoanalyse og informasjonssystemsikkerhet
- Hendelseshåndtering (forebygging, oppdagelse og respons på hendelser)
- Forretningskontinuitet og krisehåndtering
- Forsyningskjedesikkerhet, inkludert sikkerhetsrelaterte aspekter knyttet til forholdet mellom den enkelte enhet og dens leverandører eller tjenesteleverandører, for eksempel leverandører av datalagrings- og databehandlingstjenester eller administrerte sikkerhetstjenester
- Sikkerhet i forbindelse med anskaffelse, utvikling og vedlikehold av nettverk og informasjonssystemer, herunder håndtering og publisering av sårbarheter
- Retningslinjer og prosedyrer (testing og revisjon) for å vurdere effektiviteten av tiltak for å håndtere cybersikkerhetsrisikoer
- Bruk av kryptografi og kryptering.
Hvordan kan Conscia hjelpe deg med implementeringen av NIS2?
Conscia kan levere et omfattende spekter av tjenester og løsninger som kan støtte deg gjennom NIS2:
Modenhetsanalyse:
Vi utfører sikkerhetsmodenhetsanalyser med sertifiserte sikkerhetskonsulenter som er opplært i implementering og revisjon av sikkerhetskontroller. Som en del av modenhetsanalysen måler vi også din bedrifts konkrete beskyttelsesevne mot cyberangrep og utarbeider konkrete anbefalinger som støtter NIS2 sikkerhetskrav og høyere modenhet.
Bevissthet:
Vi leverer sikkerhetsopplæring i form av automatiserte systemer for og kontinuerlig individuell testing av ansatte. Opplæringen er tilpasset organisasjonens reelle behov i forhold til den enkelte ansatte.
Hendelseshåndtering og hendelsesrespons:
Vi utfører hendelsesforebygging, deteksjon og respons ved å bruke vår Managed Detection and Response Service (MDR), noe som gir deg 24/7 trygghet til å administrere virksomheten mens vi håndterer hendelsene, inkludert hendelsesrespons.
Sårbarhetshåndtering:
Vi oppdager, vurderer og forebygger sårbarheter gjennom vår sårbarhetsskanning. Vi gjør vurderinger og gir anbefalinger om hva som må fikses slik at du kan jobbe mer effektivt med sårbarheter.
Sikkerhetsløsninger:
Vi designer, implementerer, støtter og drifter nødvendige sammenhengende sikkerhetsløsninger som oppfyller de mer tekniske sikkerhetskravene, slik som gjenoppretting, ressursforvaltning, nettverkssikkerhet og sikkerhet i informasjonssystemer, tilgangskontroller og kryptering. Vi følger opp og sikrer at nødvendige sikkerhetskontroller implementeres som en viktig del av løsningen, enten det er nettverk, endepunkt, brannmur, datasenter eller Cloud.
Rapportering:
Vi støtter deg med rapportering til sentral CSIRT, slik at rapporter blir gjort i rett tid og med nødvendig innhold.
Vil du vite mer?