Det du trenger å vite om NIS2 direktivet

NIS2-direktivet er EUs nye og skjerpede regelverk for nettverk- og informasjonssikkerhet (NIS). 

Direktivet stiller langt strengere krav til hvordan virksomheter i kritiske og viktige sektorer skal sikre sine digitale systemer og håndtere cyberhendelser. Direktivet erstatter det opprinnelige NIS-direktivet fra 2016, og har som mål å løfte det samlede sikkerhetsnivået i hele Europa.

Digitalsikkerhetsloven er ventet å tre i kraft i løpet av 2025, og vil gi norske tilsynsmyndigheter større handlingsrom og sanksjonsmuligheter. For mange virksomheter betyr dette at kravene til cybersikkerhet blir både mer omfattende og mer forpliktende. Derfor er det hensiktsmessig for påvirkede norske virksomheter å forberede seg på etterlevelse allerede nå.

Er du usikker på om din virksomhet omfattes av NIS2 eller digitalsikkerhetsloven? Ta gjerne kontakt med oss for en uformell prat.

Hvorfor vi trenger NIS2

NIS2 er en viktig del av arbeidet med å sikre samfunnets kritiske funksjoner i en tid der digitale trusler blir stadig mer omfattende. Når flere virksomheter følger felles krav og standarder styrkes beredskapen og evnen til å håndtere hendelser, både internt og på tvers av sektorer og landegrenser. Dette gir økt samfunnsrobusthet og tryggere tjenester for innbyggere, næringsliv og myndigheter.

Direktivet fremmer en helhetlig tilnærming til sikkerhet, der kontinuitet, oversikt og ledelsesforankring er sentrale elementer. Gjennom opplæring og involvering av både ansatte og ledere, bygges en felles forståelse og kultur for sikkerhet. Dette legger til rette for bedre samarbeid, raskere respons og et mer motstandsdyktig Europa i møte med digitale trusler.

Hvilke krav må virksomheter overholde?

Ledelsesansvar og styring

Ledelsen må ha et aktivt eierskap og forstå hva sikkerhet innebærer. Det forventes at det etableres et styringssystem for informasjonssikkerhet, gjerne integrert i virksomhetens øvrige ledelsessystem. Dersom det oppdages brudd eller avvik fra direktivet, kan ledelsen bli holdt juridisk ansvarlig. Det er ledelsens ansvar å sikre at virksomheten etterlever NIS2.

Sikkerhetstiltak, risikostyring og -håndtering

Et kjernekrav i NIS2 er at virksomheter skal ha en systematisk tilnærming til cybersikkerhet. Dette innebærer blant annet at virksomheter må identifisere, analysere og håndtere risiko tilknyttet sine nettverks- og informasjonssystemer. Det stilles også direkte krav til både tekniske og organisatoriske sikkerhetstiltak for nettverk- og informasjonssikkerhet, som skal være tilpasset virksomhetens trusselbilde, størrelse og kompleksitet.

Leverandørsikkerhet

Virksomheter må vurdere og håndtere risiko hos tredjeparter og leverandører. Det bør vedtas risikostyringsstrategier for forsyningskjeden, som bør inkludere vurderinger av leverandørenes sikkerhetstiltak. Man er nødt til å både ha kontroll på hvem man kjøper tjenester og systemer fra, og på hvordan disse blir beskyttet.

Varslingsplikt

Direktivet krever rask og strukturert rapportering av alvorlige sikkerhetshendelser. Virksomheter er pålagt å umiddelbart varsle Norsk Sikkerhetsmyndighet (NSM), samt andre relevante myndigheter, ved signifikante hendelser som har en betydelig effekt på nettverk- og informasjonssystemer og tjenesteleveranser. Varsling skal skje innen spesifiserte tidsfrister:

• Tidlig varsel skal gis innen 24 timer fra oppdagelse
• Statusoppdatering innen 72 timer, inkludert en vurdering av alvorlighetsgrad og omfang
• Hendelsesrapport skal overleveres maks en måned etter tidlig oppdatering, sett at saken er lukket. Dersom hendelsen ikke er avviklet skal fremgangsrapport leveres.

Kontinuitet og beredskap

En sentral del av NIS2 er at berørte virksomheter må kunne opprettholde eller raskt gjenopprette sine tjenester selv ved en alvorlig sikkerhetshendelse. Derfor må virksomheter ha en beredskap og evne til å håndtere hendelser uten at driften stopper opp. Ikke bare skal krisehåndtering-, forretningskontinuitet- og gjenopprettingsplaner være dokumentert, de skal også testes og være forankret i ledelsen.

Blir din virksomhet omfattet av NIS2?

Direktivet stiller, som tidligere nevnt, strenge krav til virksomheter innen kritiske og viktige sektorer. I tillegg til sektorspesifikke krav, skiller direktivet også på omfattede selskaper ut fra antall ansatte og omsetning. Her skilles det på essensielle og viktige virksomheter, med enkelte forskjeller i hvilke krav som gjelder. I praksis betyr dette av virksomheter innen en rekke sentrale bransjer omfattes av direktivet.

Følgende sektorer er definert som omfattet:

Kritiske sektorer (også omfattet av NIS1):

• Energi
• Transport
• Bank og finans
• Offentlig forvaltning
• Helsetjenester
• Vann og avløp
• Digital infrastruktur
• Romvirksomhet
• IKT-tjenesteleverandører

Viktige sektorer (nytt for NIS2):

• Post- og kurertjenester
• Avfallshåndtering
• Produksjon og distribusjon av kjemikalier
• Forskning
• Produksjon, prosessering og distribusjon av matvarer
• Produksjon av elektronikk, medisinsk utstyr mv.
• Digitale tjenestetilbydere (søkemotorer, sosiale medier, markedsplasser m.fl)

Essensielle virksomheter er definert som store virksomheter i kritiske sektorer med minst 250 ansatte, med en årlig omsetning på minst €50M, eller en årsbalanse på minst €43M.

Viktige virksomheter er definert som mellomstore virksomheter i viktige og kritiske sektorer, med mellom 50 og 250 ansatte, en årlig omsetning på mellom €10M og €50M, men en årsbalanse som ikke går over den fastsatt for essensielle virksomheter.

Tilsyn og sanksjoner

For å sikre etterlevelse av kravene stiller direktivet tydelige forventninger til både forebygging og håndtering av sikkerhetsrisiko. Brudd på regelverket kan medføre betydelige sanksjoner, og myndighetene får utvidede fullmakter til tilsyn og oppfølging.

Dersom en virksomhet får påvist brudd eller mangelfull etterlevelse, kan du risikere bot:

• Essensielle virksomheter risikerer bøter opptil €10M eller 2% av deres globale årlige omsetning
• Viktige virksomheter risikerer bøter opptil €7M eller 1.4% av deres globale årlige omsetning

Teknologiske og organisatoriske krav

Artikkel 21 i NIS2-direktivet stiller konkrete krav til tekniske og organisatoriske sikkerhetstiltak. Hensikten er å styrke virksomheters evne til å håndtere et stadig mer komplekst trusselbilde, og sikre forsvarlig drift av digitale tjenester og kritisk infrastruktur. Kravene representerer en helhetlig og risikobasert tilnærming til nettverks- og informasjonssikkerhet, og vil med stor sannsynlighet bli obligatoriske for virksomheter som omfattes av direktivet.  

1. policies on risk analysis and information system security; 
2. incident handling; 
3. business continuity, such as backup management and disaster recovery, and crisis management; 
4. supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers; 
5. security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure; 
6. policies and procedures to assess the effectiveness of cybersecurity risk-management measures; 
7. basic cyber hygiene practices and cybersecurity training; 
8. policies and procedures regarding the use of cryptography and, where appropriate, encryption; 
9. human resources security, access control policies and asset management; 
10. the use of multi-factor authentication or continuous authentication solutions, secured voice, video and text communications and secured emergency communication systems within the entity, where appropriate. 

Ta gjerne kontakt selv om din virksomhet ikke direkte omfattes av NIS2.

Sammen med deg kan vi se på hvordan direktivet kan skape varig verdi for deg.