EUs direktiv for cybersikkerhet, som trådte i kraft fra oktober, går fra å være veiledende til å innebære flere krav og mulige sanksjoner. Flere virksomheter må allerede nå forberede seg på å gjøre viktige endringer og tilpasninger i sikkerhetsarbeidet. Målet er enkelt forklart å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele EU.
NIS2 kort forklart
I hovedsak handler NIS2 om å sikre at virksomheter og organisasjoner har tilstrekkelig oversikt over sine nettverks og informasjonssystemer slik at EU som helhet er mindre sårbart for angrep. Dette berører virksomheter som er av en gitt størrelse eller definert som viktige eller svært viktige tilbydere av samfunnstjenester. Virksomhetene står ikke bare ansvarlige for seg selv, men må også sørge for at leverandørkjeder og underleverandører leverer på kravene.
NIS2 peker i tillegg på nødvendigheten av opplæring på tvers av hele virksomheten for å forstå risiko knyttet til cyberangrep. Det skal ikke kun være er personer med sikkerhetsrelatert arbeid som skal ha kunnskap om hvorfor cybersikkerhet er viktig.
Hvorfor skjerpes direktivet?
De siste årene har det geopolitiske bildet ført til store endringer innen cybersikkerhet, hvor det digitale trusselbildet har økt markant. Skjerpingen gjennom NIS2 kommer som et ledd i EUs politkk for å sikre seg mot nettverksangrep som kan berøre flere land samtidig. Fordi vi i det digitale domenet er så avhengige av hverandre på tvers av landegrenser blir vi nemlig ekstra sårbare om noen ikke tar dette på alvor.
Direktivet vil føre til flere krav og strengere sanksjoner, samtidig som flere leverandører og virksomheter nå blir berørt. På bakgrunn av endringene i trusselbildet er flere virksomheter mottakelige for å skjerpe sin sikkerhet og forberede seg på mulige trusler og sårbarheter.
Flere ser også verdien av å ha god risikostyring og kontroll over egne data og egne verdier, men strever med å gjøre dette på en effektiv måte, og med å forstå hvordan de skal jobbe med verdiene sine, og hva en verdi er, forklarer Sikkerhetsrådgiver i Bouvet, Nina Meldahl.
Hun har bakgrunn fra PST og flere sikkerhetsmiljøer og er klar på at direktivet over sikt vill tvinge frem svært relevante endringer.
– Det digitale domenet har ikke fysiske grenser slik som landegrensene, og EU har i flere år brukt NIS-direktivet som en veiledende forskrift for å beskytte verdiene våre i det digitale domenet. NIS2-direktivet er en fremoverlent løsning for å beskytte oss, men den krever store endringer både for medlemslandene og virksomhetene som blir berørt, forklarer Meldahl.
Hva blir endringene?
En vesentlig forskjell i det nye direktivet er mulighetene for sanksjoner mot virksomhetene og de ansvarlige. Fravikelse fra krav vil bli straffbart med bot på samme måte som avvik fra GDPR-direktiver nå blir håndtert. NIS2 er også det første rammeverket hvor det er beskrevet hvilke direkte konsekvenser en toppleder kan få ved å ikke etterleve det.
Et EU-direktiv fordrer at den aktuelle staten tilpasser og iverksetter egne lover i henhold til direktivet. Regelverk for NIS2 er ikke etablert enda i Norge, og direktivet legger i så måte et press på norske myndigheter. Nina påpeker at fristen kan komme fort for de aktuelle virksomhetene, og at disse gjør lurt i å starte arbeidet med å håndtere dette allerede nå.
– Å igangsette arbeidet nå kan gjøre det enklere å sikre både kvalitet og mulighet for etterlevelse. Vi ser ofte at virksomheter vi prater med ikke har full oversikt over hvordan de skal plassere egne verdier og sårbarheter i konteksten av trusselbildet, og da blir det krevende å vurdere relevant risiko. De opplever allerede sikkerhetsarbeid og -styring som krevende, forklarer Nina!
At disse sanksjonene nå innføres understreker på mange måter hvor ødeleggende et angrep i det digitale domenet kan være – spesielt for virksomheter som utfører oppgaver som påvirker store deler av samfunnet.
Nina MeldahlSvært mange berøres – hva må de tenke på?
NIS2 skal etterleves av viktige og svært viktige virksomheter. Enhver virksomhet med 10 millioner euro i omsetning eller som har over 50 ansatte defineres som en viktig virksomhet. I tillegg kan virksomheter som ut ifra sin tilhørighet i kritisk sektor bli underlagt direktivet gjennom definisjon som svært viktig virksomhet. Leverandører og underleverandører til virksomhetene som berøres vil også indirekte påvirkes av direktivet.
– Vi anbefaler alle kunder å vurdere om de vil bli berørt av direktivet og sette seg inn i hvordan de kan sørge for å kunne etterleve kravene. Faktisk etterlevelse handler i stor grad om å evne å oppdage cyberangrep, rapportere disse innen kort tid, ha relevant sikkerhetsstyring samt å kontinuerlig gjøre relevante trussel- og sårbarhetsvurderinger, sier Nina Meldahl avslutningsvis.
Les mer om sikkerhet
Kontakt oss
