Mange norske fagfolk innenfor IT-sektoren har hørt om det såkalte NIS2-direktivet, et regelverk for nettverks- og informasjonssikkerhet. Dette regelsettet bygger videre på det tidligere NIS-direktivet, som ble vedtatt allerede i 2016. Det har skjedd mye i løpet av få år når det gjelder nettverks- og informasjonssikkerhet, derfor er det ikke rart at EU har laget et oppdatert regelverk. NIS2 vil være viktig for mange norske virksomheter.
Hvem er omfattet av NIS2-direktivet?
Det kan være utfordrende å sette seg inn i nøyaktig hvilke virksomheter som er omfattet av NIS2 direktivet, men sammenlignet med det tidligere direktivet er virkeområdet betydelig utvidet. Det er viktig å forstå at både myndigheter og private aktører kan være omfattet av NIS2, regelverket er knyttet til følgende sektorer og bransjer:
-
Såkalte «essensielle sektorer» omfatter energi, transport, finans, drikkevann, digital infrastruktur, helse, luftfart og offentlig administrasjon. Svært mange myndigheter, bedrifter og andre organisasjoner vil altså være en del av denne avgrensningen.
-
I tillegg er såkalte «viktige sektorer» omfattet av NIS2, med bransjer som avfallshåndtering, mat og drikke, kjemiske produkter, legemidler, maskiner, kjøretøy og flere andre produkt- og tjenestekategorier.
-
Videre er også søkemotorer, sosiale medieplattformer og nettbaserte markedsplasser definert som «viktige sektorer», noe som ytterligere utvidere regelverks virkeområde.
Det vil åpenbart være virksomheter som ikke er omfattet av NIS2, men det omfattende virkeområdet gjør det samtidig aktuelt for overraskende mange – særlig med tanke på at hele leverandørkjeden skal beskyttes mot digitale trusler.
Hovedprinsipper knyttet til NIS2-regelverket
NIS2-direktivet har som formål å styrke arbeidet med nettverks- og informasjonssikkerhet. Derfor er også flere av kravene i regelverket knyttet til ledelse, ansvar og kontrollrutiner.
-
Det stilles krav til ledelsens ansvar, tolket som at ledelsen i organisasjonen må være kjent med både direktivet og risikostyringen i virksomheter. Det betyr at arbeidet med NIS2-direktivet også er et direkte ledelsesansvar.
-
Det må gjennomføres både risikoanalyser og risikohåndtering i virksomheter som er omfattet av NIS2-direktivet. En grundig analyse av mulige sårbarheter er avgjørende for å legge til rette for korrekte sikkerhetstiltak.
-
Sikkerhetstiltakene i virksomheten skal adressere både tekniske og organisatoriske sårbarheter. Det er viktig å huske på at for eksempel adgangskontroll og revisjoner er like viktig som kryptering og oppdatering av programvare.
-
Virksomheten må også ha en plan for hva som skal gjøres ved et avvik. Dessuten må det finnes rutiner for rapportering av hendelser til relevante myndigheter.
NIS2-direktivet stiller mange krav til sikkerhetsarbeidet, men direktivet gjør også mange sektorer mye mer robuste mot cyberangrep og andre sårbarheter.
