Network & Information Security-direktivene

La oss starte med NIS1 og Norge

Rett før jul 2023 ble den nye digitalsikkerhetsloven kunngjort. Denne loven implementerer NIS 1-direktivet og cybersikkerhetsforordningen, og stiller grunnleggende krav til digital sikkerhet for virksomheter med samfunnsviktig betydning. NIS står for Network & Information Security.

Hvem gjelder NIS for?

Virksomheter med samfunnsviktig betydning inkluderer altså sektorer som energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Mer om dette lenger ned på denne siden. Loven gjelder også tilbydere av digitale tjenester som nettbaserte markedsplasser, søkemotorer og skytjenester.

Justis- og beredskapsdepartementet mener at samfunnsviktige tjenester som allerede følger NSMs IKT-sikkerhetsprinsipper vil oppfylle kravene i loven. Selv om EU har vedtatt NIS 2-direktivet for å utvide kravene, vil implementeringen av NIS 1 gjennom digitalsikkerhetsloven styrke digital sikkerhet i Norge.

Loven legger til rette for opprettelse av sikkerhetssertifiseringsordninger for IKT-produkter, tjenester og prosesser. Ved brudd på loven kan man ilegges overtredelsesgebyr, og det kan være styreansvar for manglende oppfyllelse av kravene.

Loven er enda ikke gjeldende

Virksomheter bør begynne forberedelsene nå. Mange virksomheter som opererer i EU, forbereder seg også på kravene i NIS2, som trer i kraft innen 24. oktober 2024. (Kilde: digi.no)

Digitalsikkerhetsloven

Digitalsikkerhetsloven stiller krav om:

  • Risikovurderinger av nettverks- og informasjonssystemer.
  • Iverksettelse av sikkerhetstiltak som er tilpasset risikoen.
  • Tiltak for å forebygge, oppdage og redusere konsekvenser av hendelser.
  • Varsling ved hendelser som påvirker tjenesteleveransen.
  • Representant i Norge for digitale tjenestetilbydere uten hovedkontor i Norge eller annen EØS-stat.

Hva så med NIS2?

EU ønsker altså at enda flere virksomheter skal være trygge i møte med de digitale truslene som finnes i dag. NIS-direktivene fra EU stiller krav til hvordan aktører og virksomheter med samfunnskritiske arbeidsoppgaver må jobbe med sin digitale sikkerhet. Hva bør du gjøre for å innfri kravene?

Hvem gjelder NIS2 for?

Direktivet gjelder virksomheter i sektorer som EU anser som samfunnskritiske. De skiller mellom vesentlige sektorer og viktige sektorer.

Andre kriterier de stiller er at virksomheten har over 50 ansatte og en årlig omsetning på minst 10 millioner euro (ca. 118 millioner norske kroner).

De utelukker ikke at mindre aktører med både færre ansatte og mindre omsetning kan bli omfattet av direktivet, og hvis din virksomhet tilhører en av sektor-gruppene (nærmere beskrevet lenger ned på denne siden), gjelder direktivet deg også.

Hva er NIS2?
NIS1 og NIS2 er altså EUs måte å stille krav til virksomheter med kritiske samfunnsoppgaver. NIS2 er strengere enn sin forgjenger NIS1, og derfor enda viktigere å etterleve. Allerede januar 2023 var NIS2 gjeldende fra EU, så norske virksomheter har ingen tid å miste hvis de enda ikke er klar over at direktivene gjelder dem.

EU vil sjekke etterlevelsesnivå
CISO i Braathe, Bård Eirik Lyche, er tydelig på at direktivene fra EU er viktige å innfri, dersom de berører din virksomhet. EU pålegger land som må følge direktivene til å dele ut bøter. Virksomheter kan derfor oppleve bøter på opptil 10 millioner euro eller 2% av omsetningen hvis EU ikke ser et tilfredsstillende etterlevelsesnivå.

Direktivene er laget fordi angrepene øker, både i omfang og kompleksitet, og allikevel har ikke alle virksomheter satt i gang et skikkelig sikkerhetsarbeid. Det kan det være mange grunner til, men EUs krav skal dytte flere sektorer i riktig retning.

Hva bør norske selskaper som opererer i EU gjøre?

Norske selskaper med operasjoner i EU følge EUs NIS-direktivere. Hvert selskap eier sine egne data og sine egne prosesser, og derfor må bevisstheten og ansvaret for NIS tas på alvor, og ansvaret kan ikke bare skyves over til underleverandører. Å være NIS-compliant innebærer å sikre at hele din forsyningskjede holder seg innenfor direktivets retningslinjer.

Berørte sektorer og virksomheter

Virksomheter som tilhører gruppen «vesentlig» kan oppleve at nasjonale tilsynsmyndigheter kan utføre tilfeldig tilsyn, utføre sikkerhetsrevisjoner og be om innsyn og bevis for etterlevelse. For «viktige» virksomheter er det et lavere tilsynsregime. Uansett, så er det viktig at dere får god oversikt.

Vesentlige sektorer

  • symbol energiEnergi og kraft
  • symbol transportTransport
  • symbol bankBank og finansinfrastruktur
  • symbol helseHelse
  • symbol vann og avløpDrikkevann og avløp
  • symbol digital infrastrukturDigital infrastruktur
  • symbol iktIKT tjenesteleverandører
  • symbol offentligOffentlig forvaltning
  • symbol spaceRomviksomhet

Viktige sektorer

  • symbol postPost- og kurertjenester
  • symbol avfallshåndteringAvfallshåndtering
  • symbol kjemikalierProduksjon og distribusjon av kjemikalier
  • symbol matproduksjonMatproduksjon, prosessering og distribusjon
  • symbol elektronikkProd. av elektronikk, medisinsk utstyr mv.
  • symbol markedsplassDigitale tilbydere av markedsplasser mv.
  • symbol forskningForskning

Å være på riktig side av dette direktivet vil ikke bare sørge for at du er bedre rustet mot hackere og andre trusler. Det gjør også at tilliten til virksomheten din er høyere.

Bård Eirik Lyche
CISO, Braathe

DNV ISO27001

Braathe innfrir på kravene i direktivet

Vi har jobbet med sikkerhet i årevis, og jobber løpende for å etterleve kravene fra EU. Det betyr at våre kunder får mye drahjelp fra arbeidet vi legger ned. Gjennom våre tjenester får du et godt sikkerhetsfundament, men det er i seg selv ikke nok til at virksomheter nødvendigvis er i mål med å møte kravene. Vi fornyet i mars 2024, vår ISO 27001-sertifisering, og demonstrer med det nivået vi jobber for å opprettholde innenfor informasjonssikkerhet.

Så, hva bør virksomheten din gjøre?

Hva dere bør gjøre, hvilke direktiver er de viktigste å følge opp? Å navigere i direktivjungelen kan være vanskelig - vi hjelper deg!

Dette bør virksomheten din gjøre

  • oversikt over hva kravene i direktivet er
  • Undersøk hvilke krav dere ikke innfrir på per i dag
  • Lag en plan for hvordan innfri kravene på en forsvarlig måte for din virksomhet (her bistår vi gjerne)
  • Sett opp rapporteringssystemer som svarer ut direktivet til enhver tid
  • Følg opp jevnlig

Vil du ha hjelp?
Vi kan bistå virksomheter som trenger å få oversikt og kontroll på hva som er hva. Sammen tar vi dere i mål med direktivene slik at ved et eventuelt NIS3 er det kortere vei til mål enn før. Bonusen ved å legge ned dette arbeidet nå er 1) null bøter fra EU og 2) mindre sjanse for å bli rammet av et angrep eller være et enkelt offer for hackere.

Vi har også en rekke bloggartikler som kan gi deg mer kunnskap om smått og stort innenfor IT-sikkerhet:

Hva er det viktigste i direktivet du bør følge opp?

  • Risikostyring
    • Enhver virksomhet skal systematisk kartlegge og analysere risikoen de står ovenfor som tar hensyn til risiko, størrelse, kostnad, virkning og alvorligshetsgrad av hendelser. Det skal lages retningslinjer deretter, og den skal ta hensyn til alle mulige scenarioer som kan true sikkerheten for virksomheten.
    • Disse områdene er det spesielt viktig å se på:
      • Leverandørsikkerhet
      • Forebyggingsarbeid
      • Kontinuitet, kriseledelse og beredskap
  • Rapportering og lederansvar
    • Som virksomhet med et viktig eller vesentlig samfunnsområde er du pålagt å rapportere alle hendelser som påvirker deres leveranser av tjenester. Her er det derfor essensielt at rapportering skjer jevnt og at dere har god hendelseskontroll.
      • Rapportere jevnlig
      • Heve cyberkompetanse
  • Etterlevelse og tilsyn
    • Som vi nevnte tidligere i artikkelen, så kan virksomheten din risikere bøter hvis etterlevelsesnivået ikke er tilfredsstillende.

Vi hjelper deg å bli NIS-compliant

Skap og dyrk tillit hos dine kunder gjennom å vise at du tar sikkerhet på alvor, og også gjør jobben som må til for å møte kravene i NIS.

Ofte stilte spørsmål

  • Er du usikker på om direktivet gjelder deg?

    Med direktivene fra EU er det viktig at du går nøye gjennom hvilken bransje du tilhører. Selv om du ikke innfrir på antall ansatte eller omsetningskravet EU-stiller til direktivene sine, så er det bransjen du tilhører som henger høyest.

  • Når vil NIS1 og NIS2 tre i kraft?

    Det er ikke satt noen tydelige datoer enda, så inntil videre bør vi følge Digitalsikkerhetsloven som den er i Norge. For bedrifter som opererer i EU, så må de ta stilling til EU-direktivene direkte så vel som Digitalsikkerhetsloven.

  • Hvorfor innfører EU disse direktivene?

    Det er det flere grunner til, men den viktigste er å sikre samfunnskritiske bransjer hvis det er digital fare på ferde. Dessverre, så er det fortsatt mange essensielle og viktige virksomheter som ikke har gjort sikkerhetsarbeidet de trenger for å overleve et angrep. Det prøver EU å få fart på gjennom direktivene sine.