NIS2 forutsetter systematisk sikkerhetsarbeid - dette trenger du å vite

Hva er NIS2?

NIS2 direktivet stiller tydelige krav til systematisk sikkerhetsarbeid og peker på hvem som må etterleve dem. Det nasjonale lovforslaget utarbeides ennå, allikevel er direktivet såpass omfattende og detaljert at norske virksomheter allerede nå bør utrede om de er rustet til å møte de høye kravene som kommer. 

Network and Information Security (NIS) direktivet er et EU-direktiv fra 2016 som pålegger tilbydere av digitale tjenester å innføre sikkerhetstiltak som står i et rimelig forhold til risikoen virksomheten står overfor. Direktivet ble tatt opp i norsk lov i 2018 i form av endring av bl.a. ekomloven og sikkerhetsloven. Nasjonal Sikkerhetsmyndighet (NSM) ble styrket og fikk en rolle som tilsynsmyndighet, koordinator og kompetansesenter. NIS var også en driver for etableringen av digitalsikkerhetsloven som ble vedtatt i 2023. 

NIS2 bygger videre på det første direktivet men stiller strengere og mer spesifikke krav til kapabiliteter som må innføres. Formålet er fremdeles å heve informasjonssikkerheten til tjenesteaktører i og på tvers av medlemsland og sikre kontinuitet i samfunnskritiske tjenesteleveranser i forskjellige trusselsituasjoner.

Manglende etterlevelse av regelverket kan straffes med bøter opp til 10 millioner euro eller 2% av årlig omsetning.

NIS2 krever at berammede virksomheter skal:

• ha beredskap - trene på å levere tjenester ved ulike trusselscenarioer og unntakstilstander hvor normal drift ikke er mulig
• fortløpende rapportere store og små sikkerhetshendelser på en standardisert måte spesifisert i direktivet
• dokumentere arkitektur for å vise at man har kontroll på angrepsflatene sine
• stille krav til samarbeidspartnere - følge opp leverandører med avtaleverk og rutiner for å minimere risikoen i verdikjeden(e)

Når innføres NIS2?

Fristen for medlemslandene å nedfelle NIS2 i nasjonal lovgivning var i oktober 2024. Det forventes at NIS2 direktivet blir opptatt i norsk lov i 2025. 

Eksportbedrifter og leverandører til utenlandske selskaper som opererer i land hvor NIS2 direktivet er lovfestet vil merke nye rapporteringskrav som følge av samhandling med virksomheter som allerede er omfattet av lovgivningen.

Hvem gjelder NIS2 for?

NIS2 gjelder offentlige og private virksomheter og organisasjoner med over 50 ansatte som leverer tjenester som defineres som samfunnskritiske og/eller viktige.

De høyest prioriterte tjenestesektorene er energi, transport, bank, finansmarked, infrastruktur, helse, vann og avløp, digital infrastruktur, IT-infrastruktur, offentlig forvaltning, samt romvirksomhet.

Dernest følger post, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon, medisinteknisk utstyr, IKT, forskning og elektronikk.

Les mer om EU sine og regjeringen sine inndelinger om hvem som må etterleve NIS2. Forsvaret, politiet, rettsvesenet og sentralbanken er unntatt direktivet.

I likhet med GDPR, DORA og forskrifter i sikkerhetsloven så er NIS2 etterlevelse et sosioteknisk anliggende hvor man må jobbe parallelt med kulturendring, kompetanseheving og ny eller endret implementasjon av systemer. 

Selv om din virksomhet ikke må etterleve NIS2 så kan man velge å være med. Vi anbefaler virksomheter som er rustet til å møte NIS2 om å bidra i initiativet for bistå til fellesskapets sikkerhet med hendelsesrapportering samt å få innsikt i felles trusselvurderinger og trender rundt cyber-sikkerhet.

Hvis min virksomhet blir underlagt NIS2 - hva må vi gjøre?

Dere må engasjere nøkkelpersoner i organisasjonen for å drøfte spørsmål som avdekker i hvilken grad dere vil være i stand til å etterleve NIS2.

Noen relevante spørsmål er:

• I hvilken grad har dere orden i eget hus i dag?
• Har dere prosesser, systemstøtte og rutiner for å avdekke og behandle sikkerhetshendelser i dag?
• Er ledelsen tilstrekkelig orientert om hvor virksomheten er sårbar og hvordan styring av IT-porteføljen kan hjelpe eller spenne bein på motstandsdyktigheten til virksomheten for cybertrusler?

For organisasjoner og virksomheter som omfattes av NIS2 vil det sannsynligvis være behov for å gjøre tiltak i systemlandskapet, i tillegg til kulturendringer for å heve beredskap og sikkerhet. Hos enkelte vil det kun være behov for mindre justeringer, mens for andre kan det bli nødvendig med større omlegging og/eller investeringer.

Hvem er best rustet for å møte NIS2 kravene?

Virksomheter som:

• er vant til å samarbeide med andre parter i verdikjeden om trusselvurderinger
• arbeider systematisk med å fange opp, overvåke og tette sikkerhetshull
• har et proaktivt infrastrukturmiljø enten det er on-prem, i skyen eller hybrid
• har en sterk sikkerhetskultur
• har god informasjonsforvaltning med systemstøtte for overvåkning av dataeiendeler
• har et proaktivt IAM miljø og moderne løsninger for tilgangsstyring og autentisering og jobber etter least priveliged access prinsipper
• følger opp underleverandører og har innarbeidet databehandleravtaler med parter i verdikjeden

Virksomheter som allerede jobber systematisk med å avdekke, analysere og rapportere sikkerhetshendelser er godt skikket til å møte NIS2.

NIS2 som et konkurransefortrinn

Enten man er godt eller dårlig forberedt så er det heldigvis også mulig å få forretningsverdi ut av tiltakene som iverksettes i form av bedre informasjons- og tilgangsstyring, finnbarhet og arkitekturstyring.

NIS2 forutsetter god dataforvaltning og informasjonssikkerhet. For å oppnå dette kan man se på ulike tiltak innenfor:

• dataforvaltning
• informasjonssikkerhet
• tilgangsstyring

Virksomheter som har god kontroll på hvilke informasjonsmengder de forvalter, deler og bruker samt hvilke aktører de samhandler med har et godt utgangspunkt for å kunne møte NIS2.

Innsyn i hvor dataeiendelene finnes, hvilke tilganger de har tilknyttet seg og hvem som har de må også etableres. For å håndheve dette er det ønskelig med et grensesnitt for å se dette visuelt. For eksempel en integrert datakatalog. Det samme fundamentet kan også brukes til å skape forretningsregler direkte i verktøyene. Robuste og integrerte innsynsmekanismer muliggjør dette og setter plattformer og mennesker i organisasjonen i stand til å fange opp og forhindre uønskede delingsmønstre.

Mange av de samme innsynsmekanismene som forenkler etterlevelse av NIS2 kan også gi forretningsverdi.

Innsynsmekanismer etableres ved å sentralisere tjenester som datalagring, compute- og nettverksinfrastruktur, api-flater, autentisering og tilgangsstyring. Ved å veve dette sammen kan man fremvise det frem i en katalog for å øke finnbarheten.

Det samme fundamentet kan også nyttes til å utøve governance i verktøyene hvor datafagfolkene gjør jobben sin, applikasjons- og dataplattformer. 

Dette muliggjør standardisering og innføring av datakontrakter samtidig som man fremmer samhandling mellom team på tvers av fagområder og domener i organisasjonen.

På denne måten introduseres data- og arkitekturstyring på en måte som ivaretar sikkerhet samtidig som man ikke fratar produktteamene og datafagfolkene for mye autonomi. Det ligger stor verdi i å øke finnbarhet og styringsevne når man posisjonerer virksomheten for å etterleve kommende regelverk.

I Bouvet har vi rådgivere som kan hjelpe din organisasjon med å vurdere modenhet og finne tiltak som gir forretningsverdi samtidig som man forbereder seg til NIS2.