NIS2 direktivet er et nytt EU-lovverk for nettverks- og informasjonssikkerhet. Regelverket kan ha stor betydning for din digitale sikkerhet og konkurranseevne, men kan også medføre bøter og tap av omdømme hvis det ikke etterfølges. I denne artikkelen forklarer vi hva NIS2 er, hvem det gjelder for og hva du må gjøre for å være i samsvar med loven.
Hva er NIS2 direktivet?
NIS står for nettverks- og informasjonssikkerhet. Direktivet skal styrke sikkerheten i samfunnets viktigste digitale tjenester ved å forebygge, håndtere og respondere på cyberangrep. NIS2 direktivet gjelder for både offentlige og private aktører, og fører med seg strengere krav til sikkerhet, rapportering og tilsyn.
Norge har forpliktet seg til å innføre de nye retningslinjene i norsk rett innen 24. oktober 2024. Direktivet tar for seg flere praktiske ting som har betydning for selskapets digitale sikkerhet og konkurranseevne. Noen av disse er:
- Sikkerhetskrav: NIS2 krever at organisasjoner iverksetter passende tekniske og organisatoriske tiltak for å beskytte sine nettverk og informasjonssystemer mot cyberangrep. Målet er å redusere risikoen for at tjenestene blir forstyrret eller kompromittert. Disse tiltakene skal være basert på en risikovurdering som Serit kan hjelpe dere med å gjennomføre, og ta hensyn til de nyeste standardene og beste praksisene i bransjen.
- Rapporteringsplikt: NIS2 krever at organisasjoner skal varsle den relevante myndigheten om enhver hendelse som har en vesentlig innvirkning på tilgjengeligheten, autentisiteten, integriteten eller konfidensialiteten til tjenestene de tilbyr eller bruker. Informasjon om arten, omfanget og konsekvensene av hendelsen skal rapporteres så raskt som mulig. Eventuelle tiltak som er gjort eller planlagt for å gjenopprette normal drift skal også meldes inn.
- Tilsyn og sanksjoner: NIS2 gir myndighetene rett til å føre tilsyn med organisasjonenes overholdelse av loven, og gjennomføre inspeksjoner, revisjoner og tester av deres sikkerhetsnivå. Hvis organisasjonene ikke oppfyller kravene i NIS2 kan myndighetene ilegge administrative bøter eller andre sanksjoner, som kan variere fra land til land. I tillegg kan organisasjonene også lide økonomiske tap eller skade på omdømmet som følge av cyberangrep eller manglende rapportering.
Hvem gjelder NIS2 for?
NIS2 gjelder for alle organisasjoner som har en viktig rolle i samfunnet, både offentlige og private. Det kan være store eller små virksomheter innenfor sektorer som energi, bank, helse og transport. For å finne ut om organisasjonen er underlagt NIS2, må dere vurdere hvor stor innflytelse virksomheten har på samfunnets funksjoner.
Hvorfor er NIS2 direktivet viktig for deg?
Gjennom EØS-avtalen er Norge forpliktet til å iverksette EU-lovgivning som er relevant for det indre markedet. NIS2 direktivet er viktig for deg fordi det påvirker din digitale sikkerhet og konkurranseevne. Hvis du tilhører en av sektorene som er omfattet av direktivet må du sørge for at du oppfyller de nye kravene til sikkerhet, rapportering og tilsyn. Hvis du ikke gjør det, kan du risikere å få bøter, erstatningskrav eller miste kunder.
Om du bruker digitale tjenester fra en av sektorene som er omfattet av direktivet, må du være oppmerksom på at leverandøren din må følge de nye kravene. Hvis du ikke er fornøyd med leverandørens sikkerhetsnivå, kan du vurdere å bytte til en annen leverandør som har bedre sikkerhet.
Er du usikker på om din bedrift er underlagt NIS2, og hvilke tiltak du skal iverksette? Kontakt oss i Serit – vi tar din datasikkerhet på alvor.