Veiledning for å kunne etterleve NIS2-direktivet  

Tjenesten er fleksibel og omfanget tilpasses virksomhetens behov, størrelse og ressurser. Den tar hensyn til alle NIS-kravene, både de organisatoriske, operasjonelle, tekniske og fysiske. Våre erfarne NIS2-sertifiserte sikkerhetsrådgivere er sentrale i arbeidet. Følgende tre trinn inngår i vår NIS2-tjeneste: 

• Gapanalyse
• Tiltaksplan
• Innføring

Hva er NIS2?

NIS2 er en helhetlig tilnærming til sikkerhet- og risikostyring som innebærer klare krav til både ledelsen og styret – de holdes personlig ansvarlig for både policyer og praksis er på plass. EU har vedtatt NIS2 (Network and Information Security Directive 2) for å styrke det digitale sikkerhetsnivået i hele Europa. Målet er å redusere risikoen for alvorlige cyberangrep og sikre at samfunnskritiske tjenester fungerer – også i kriser og katastrofer. Direktivet er godkjent, men ikke innført i norsk lov og EØS-avtalen ennå, men det forventes at det skjer i 2026.

Hvilke virksomheter omfattes av NIS2?

NIS2 gjelder for både offentlige og private virksomheter som leverer samfunnskritiske tjenester. Hovedregelen er at virksomheter med mer enn 50 ansatte eller en omsetning/balanse over 10 millioner euro, omfattes av NIS2. Mindre virksomheter kan også omfattes hvis de leverer samfunnskritiske tjenester eller er en del av verdikjeden til en omfattet aktør. Mange virksomheter omfattes direkte – langt flere enn under dagens NIS1-regelverk. NIS2 rettes mot følgende typer virksomheter: 

• «Essensielle virksomheter» som tilbyr samfunnsviktige tjenester innen energi, transport, bank, finansmarkeder, helse, drikkevann, avløpsvann, digital infrastruktur (skytjenester, datalagring, nettverk), IKT-tjenester, offentlig forvaltning og romvirksomhet.
• «Viktige virksomheter» som posttjenester, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon, tilbydere av digitale tjenester, forskning og produksjon av visse varer - medisinsk utstyr, kjøretøy, elektronikk, maskiner og transportutstyr.

Overordnede NIS2-krav 

• Flere og strengere krav til virksomhetens sikkerhetsstyring: Virksomheten må ha både organisatoriske, operasjonelle, tekniske og fysiske tiltak på plass for å håndtere sikkerhet og risiko. Den helhetlige tilnærmingen i NIS2 forutsetter utvikling av sikkerhetskultur.
• Risikostyring: Virksomheten må jevnlig utføre risikoanalyser og oppdatere sikkerhetspolicyer.
• Hendelseshåndtering: Planer for å oppdage, reagere på og rapportere cyberhendelser skal dokumenteres og jevnlig oppdateres.
• Kontinuitet og beredskap: Back up-løsninger og kriseplaner.
• Leverandørsikkerhet: Verdikjeden er en viktig del av direktivet og kontroll av sikkerhet hos leverandører og underleverandører skal derfor også kunne dokumenteres.
• Bevisstgjøring og opplæring («Cyberhygiene»): I tillegg til lederansvaret skal alle ansatte bevisstgjøres og få opplæring i en rekke sikkerhetstema og risikostyring.

NIS2-tjenesten fra Bouvet: Vi er din praktiske NIS2-partner

Et viktig utgangspunkt er at ledelsen i din virksomhet får innsikt i nå-situasjonen og et beslutningsgrunnlag for å jobbe videre med NIS2-etterlevelse.

Vår NIS2-tjeneste hjelper din virksomhet på denne måten: 

Gapanalyse:
Etter en innledende workshop med nøkkelpersoner i virksomheten etablerer felles forståelse for NIS2, kartlegger ansvar, roller og prosesser, og får en god indikasjon på modenhetsnivået. Vi følger opp med grundigere kartlegging av tekniske kjernesystemer og praksis opp mot NIS2-kravene, foretar intervjuer, dokumentgjennomgang og evt. spørreundersøkelser. Virksomheten får raskt en rapport om status. Rapporten suppleres av en gapanalyse hvor sikkerhetshull opp mot NIS2 dokumenteres og visualiseres. 

Tiltaksplan:
I dialog med kunden utarbeider vi tiltaksplanen som viser hva og hvordan virksomheten må arbeide videre for å kunne etterleve NIS2. 

Innføring:
Det viktige er at sikkerhetstiltakene faktisk blir en del av virksomhetens drift og kultur. I innføringen jobber vi med verktøy fra endringsledelse, hvor kommunikasjon, bevisstgjøring og opplæring for alle ansatte inngår. Alle ansatte skal oppleve at de forstår og mestrer cybersikkerhetens utfordringer i egen virksomhet.

Å innfri krav forutsetter også at man følger og måler effekter og resultater. NIS2-tjenesten støtter også med evaluering som kilde til forbedring og revisjon. Bouvet bistår med målinger slik at virksomheten kan lære underveis og revidere planer og praksis.

Vi tilbyr tverrfaglig bistand og kompetanse

Vi gir dere trygghet i gjennomføringen. Med Bouvet som partner får dere et helhetlig løp fra innsikt til tiltak, innføring og oppfølging. Enhver virksomhet er unik, og vi sørger for at din virksomhet får tilpassede tiltak til akkurat deres situasjon. 
Bouvet stiller med et tverrfaglig team som kombinerer kompetanse innen sikkerhet, arkitektur, sky, drift, utvikling, innføring, endringsledelse, opplæring og organisasjonsforståelse. Våre eksperter har praktisk erfaring og NIS2-sertifisering, og hjelper din virksomhet med juridiske krav til gjennomføring.
Gjennom vår kursavdeling tilbyr vi også et praktisk NIS2-kurs, slik at ledere og andre ansatte raskt kan forstå hva direktivet betyr for deres roller og ansvar.

Start nå!

NIS2-arbeidet gjøres ikke kun én gang. Det er en kontinuerlig prosess som krever jevnlige revisjoner, risikovurderinger og oppdatering av tiltak. Det er den langsiktige, systematiske innsatsen som skaper en reell sikkerhetskultur i din virksomhet og for dine ansatte.
Bouvets råd er å starte NIS2-prosessen nå, slik at virksomheten står godt rustet når loven trer i kraft. NIS2 er ikke bare juridiske og tekniske krav – det er en mulighet til å styrke digital motstandskraft og utvikle en robust sikkerhetsstyring og -kultur. 

Å jobbe mot en NIS2-etterlevelse er ikke bare nyttig for å innfri lovkrav, det er en mulighet for din virksomhet til å bygge konkurransefortrinn i et marked hvor sikkerhet er stadig viktigere å kunne vise til i dialogen med kunder og leverandører som også må etterleve NIS2.