Rett før jul 2023 ble den nye digitalsikkerhetsloven kunngjort. Denne loven implementerer NIS 1-direktivet og cybersikkerhetsforordningen, og stiller grunnleggende krav til digital sikkerhet for virksomheter med samfunnsviktig betydning. NIS står for Network & Information Security.
Hvem gjelder NIS for?
Virksomheter med samfunnsviktig betydning inkluderer altså sektorer som energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Mer om dette lenger ned på denne siden. Loven gjelder også tilbydere av digitale tjenester som nettbaserte markedsplasser, søkemotorer og skytjenester.
Justis- og beredskapsdepartementet mener at samfunnsviktige tjenester som allerede følger NSMs IKT-sikkerhetsprinsipper vil oppfylle kravene i loven. Selv om EU har vedtatt NIS 2-direktivet for å utvide kravene, vil implementeringen av NIS 1 gjennom digitalsikkerhetsloven styrke digital sikkerhet i Norge.
Loven legger til rette for opprettelse av sikkerhetssertifiseringsordninger for IKT-produkter, tjenester og prosesser. Ved brudd på loven kan man ilegges overtredelsesgebyr, og det kan være styreansvar for manglende oppfyllelse av kravene.
Loven er enda ikke gjeldende
Virksomheter bør begynne forberedelsene nå. Mange virksomheter som opererer i EU, forbereder seg også på kravene i NIS2, som trer i kraft innen 24. oktober 2024. (Kilde: digi.no)
Digitalsikkerhetsloven stiller krav om:
EU ønsker altså at enda flere virksomheter skal være trygge i møte med de digitale truslene som finnes i dag. NIS-direktivene fra EU stiller krav til hvordan aktører og virksomheter med samfunnskritiske arbeidsoppgaver må jobbe med sin digitale sikkerhet. Hva bør du gjøre for å innfri kravene?
Direktivet gjelder virksomheter i sektorer som EU anser som samfunnskritiske. De skiller mellom vesentlige sektorer og viktige sektorer.
Andre kriterier de stiller er at virksomheten har over 50 ansatte og en årlig omsetning på minst 10 millioner euro (ca. 118 millioner norske kroner).
De utelukker ikke at mindre aktører med både færre ansatte og mindre omsetning kan bli omfattet av direktivet, og hvis din virksomhet tilhører en av sektor-gruppene (nærmere beskrevet lenger ned på denne siden), gjelder direktivet deg også.
Hva er NIS2?
NIS1 og NIS2 er altså EUs måte å stille krav til virksomheter med kritiske samfunnsoppgaver. NIS2 er strengere enn sin forgjenger NIS1, og derfor enda viktigere å etterleve. Allerede januar 2023 var NIS2 gjeldende fra EU, så norske virksomheter har ingen tid å miste hvis de enda ikke er klar over at direktivene gjelder dem.
EU vil sjekke etterlevelsesnivå
CISO i Braathe, Bård Eirik Lyche, er tydelig på at direktivene fra EU er viktige å innfri, dersom de berører din virksomhet. EU pålegger land som må følge direktivene til å dele ut bøter. Virksomheter kan derfor oppleve bøter på opptil 10 millioner euro eller 2% av omsetningen hvis EU ikke ser et tilfredsstillende etterlevelsesnivå.
Direktivene er laget fordi angrepene øker, både i omfang og kompleksitet, og allikevel har ikke alle virksomheter satt i gang et skikkelig sikkerhetsarbeid. Det kan det være mange grunner til, men EUs krav skal dytte flere sektorer i riktig retning.
Norske selskaper med operasjoner i EU følge EUs NIS-direktivere. Hvert selskap eier sine egne data og sine egne prosesser, og derfor må bevisstheten og ansvaret for NIS tas på alvor, og ansvaret kan ikke bare skyves over til underleverandører. Å være NIS-compliant innebærer å sikre at hele din forsyningskjede holder seg innenfor direktivets retningslinjer.
Virksomheter som tilhører gruppen «vesentlig» kan oppleve at nasjonale tilsynsmyndigheter kan utføre tilfeldig tilsyn, utføre sikkerhetsrevisjoner og be om innsyn og bevis for etterlevelse. For «viktige» virksomheter er det et lavere tilsynsregime. Uansett, så er det viktig at dere får god oversikt.
Å være på riktig side av dette direktivet vil ikke bare sørge for at du er bedre rustet mot hackere og andre trusler. Det gjør også at tilliten til virksomheten din er høyere.
Vi har jobbet med sikkerhet i årevis, og jobber løpende for å etterleve kravene fra EU. Det betyr at våre kunder får mye drahjelp fra arbeidet vi legger ned. Gjennom våre tjenester får du et godt sikkerhetsfundament, men det er i seg selv ikke nok til at virksomheter nødvendigvis er i mål med å møte kravene. Vi fornyet i mars 2024, vår ISO 27001-sertifisering, og demonstrer med det nivået vi jobber for å opprettholde innenfor informasjonssikkerhet.
Hva dere bør gjøre, hvilke direktiver er de viktigste å følge opp? Å navigere i direktivjungelen kan være vanskelig - vi hjelper deg!
Dette bør virksomheten din gjøre
Vil du ha hjelp?
Vi kan bistå virksomheter som trenger å få oversikt og kontroll på hva som er hva. Sammen tar vi dere i mål med direktivene slik at ved et eventuelt NIS3 er det kortere vei til mål enn før. Bonusen ved å legge ned dette arbeidet nå er 1) null bøter fra EU og 2) mindre sjanse for å bli rammet av et angrep eller være et enkelt offer for hackere.
Vi har også en rekke bloggartikler som kan gi deg mer kunnskap om smått og stort innenfor IT-sikkerhet:
Hva er det viktigste i direktivet du bør følge opp?
Skap og dyrk tillit hos dine kunder gjennom å vise at du tar sikkerhet på alvor, og også gjør jobben som må til for å møte kravene i NIS.
Med direktivene fra EU er det viktig at du går nøye gjennom hvilken bransje du tilhører. Selv om du ikke innfrir på antall ansatte eller omsetningskravet EU-stiller til direktivene sine, så er det bransjen du tilhører som henger høyest.
Det er ikke satt noen tydelige datoer enda, så inntil videre bør vi følge Digitalsikkerhetsloven som den er i Norge. For bedrifter som opererer i EU, så må de ta stilling til EU-direktivene direkte så vel som Digitalsikkerhetsloven.
Det er det flere grunner til, men den viktigste er å sikre samfunnskritiske bransjer hvis det er digital fare på ferde. Dessverre, så er det fortsatt mange essensielle og viktige virksomheter som ikke har gjort sikkerhetsarbeidet de trenger for å overleve et angrep. Det prøver EU å få fart på gjennom direktivene sine.