Flere bedrifter enn før er bekymret for å bli hacket. Angrepene øker og metodene er mer komplekse. Derfor har EU utgitt NIS-direktivene (Network & Information Security) som stiller krav til den digitale sikkerheten for utvalgte kritiske samfunnsområder. NIS2 trådte i kraft i januar 2023 i EU.
Følger du NIS 2-kravene vil du få større tillit hos dine kunder. Og du vil være bedre rustet mot cyberangrep.
Sjekk om du blir berørt av NIS2
Direktivet gjelder primært for virksomheter i utvalgte sektorer med over 50 ansatte og en årlig omsetning/balanse på minst €10 millioner. Samtidig kan mindre virksomheter med en avgjørende rolle for samfunn og økonomi også bli berørt av direktivet. NIS2 skiller mellom vesentlige (sectors of high criticality) og viktige (other critical sectors) sektorer:
Vesentlige sektorer
Viktige sektorer
Slik vil NIS2 påvirke din virksomhet:
Risikostyring
Rapportering og
lederansvar
Håndheving og
tilsyn
Risikostyring
Virksomheter er pålagt å gjennomføre en systematisk analyse av risiko og innføre retningslinjer for beskyttelse av informasjon og kritiske systemer.
Retningslinjene skal utformes med en "all-hazard"-tilnærming. Det betyr at den skal ta hensyn til alle mulige scenarier som kan true cybersikkerheten. Retningslinjene må ta hensyn til risikoen, størrelsen, kostnaden, virkningen og alvorlighetsgraden av hendelser som den enkelte virksomhet står overfor.
Innen disse områdene kan du forvente å måtte gjøre noe:
Leverandørsikkerhet
Virksomheter må vurdere sikkerhetsrelaterte faktorer i sin relasjon med leverandører. I praksis betyr dette at virksomheter må få på plass tredjeparts-risikostyring, hvor analyse av sårbarheter og risikoer hos leverandører gjennomføres jevnlig og tiltak følges opp.
Forebygging av hendelser
Vesentlige og viktige virksomheter må implementere tilpassede tekniske, operasjonelle og organisatoriske tiltak for risikostyring og forebygging av cyberangrep på virksomhetens tjenester og leveranser. I tillegg skal virksomheter implementere tiltak for hendelseshåndtering, policyer for risikoanalyse og informasjonssystemsikkerhet. Det skal også etableres prosedyrer for analyse av risikostyringstiltak, samt opplæring og cyberhygiene.
Kontinuitet og kriseledelse
Vesentlige og viktige virksomheter må sikre kontinuitet i driften ved en større cyberhendelse. Virksomhetene må derfor jobbe med å minimere påvirkning av virksomhetens drift gjennom tiltak innenfor virksomhetskontinuitet, disaster recovery og krisehåndtering.
Les også: Slik automatiserer du risikostyringen med riktig GRC-verktøy
– NIS2 sier blant annet at vesentlige og viktige virksomheter må analysere risikoen hos tredjepartsleverandører, sier Margrethe som hjelper bedrifter med å implementere NIS2.
Rapportering og lederansvar
Vesentlige og viktige virksomheter skal rapportere - uten unødig forsinkelse - enhver hendelse som har betydelig innvirkning på leveringen av deres tjenester til kompetent nasjonal myndighet.
For å overholde rapporteringsplikten må virksomheter sende inn:
Initiell varsel: sendes innen 24 timer med en kort beskrivelse om hendelsen stammer fra ulovlig eller ondsinnet aktivitet eller har potensielle grenseoverskridende konsekvenser.
Hendelsesvarsling: sendes etter senest 72 timer med oppdatert informasjonen og en foreløpig vurdering av hendelsens alvorlighetsgrad og virkninger.
Mellomrapport: sendes etter forespørsel fra CSIRT eller kompetent nasjonal myndighet med relevante statusoppdateringer i forbindelse med hendelses- og krisehåndtering.
Sluttrapport: sendes senest en måned etter hendelsesvarslingen. Rapporten skal gi en grundig beskrivelse av hendelsen som omfatter rotårsak, eventuelle mitigerende tiltak og eventuelle grenseoverskridende effekter.
Ledere må heve cyberkompetansen sin jevnlig
Styringsorganene til vesentlige og viktige virksomheter må godkjenne risikostyringstiltak for nettsikkerhet og overvåke tiltakene. De kan samtidig holdes ansvarlig for brudd "på regelverket" i deres virksomhet.
Alle medlemmer av styringsorganer skal læres opp med jevne mellomrom for å sikre tilstrekkelig kunnskap til å identifisere risikoer og vurdere hvordan risikostyring av cybersikkerhet påvirker virksomhetens tjenester.
Les også: Cybersikkerhet på 1-2-3
Håndheving og tilsyn
Dersom ikke regelverket følges kan du risikere bot:
- Vesentlige virksomheter kan få bøter på opptil €10 millioner eller 2% av deres globale årlige omsetning.
- Viktige virksomheter kan få bøter på opptil €7 millioner eller 1,4 % av deres globale årlige omsetning.
Sammenlignet med NIS 1 introduserer NIS 2 strengere krav for tilsyn som skal sikre et høyere etterlevelsesnivå.
Tilsynsregimet er strengere for vesentlige virksomheter enn for viktige virksomheter.
- Vesentlige virksomheter blir underlagt et omfattende forebyggende tilsynsregime, der de nasjonale tilsynsmyndighetene har mulighet til å utføre tilfeldig tilsyn, utføre sikkerhetsrevisjoner, samt be om innsyn i informasjon og bevis for etterlevelse.
- Viktige virksomheter blir underlagt et noe mindre omfattende tilsynsregime hvor tilsyn kan være aktuelt dersom det foreligger informasjon om at krav ikke er overholdt.
- Hensikten med NIS2 er å sikre grunnleggende digital sikkerhet i virksomheter som har særlig betydning for samfunnet. Kontakt meg gjerne om hvordan du kan gjøre det i din virksomhet, sier Eldar Lorentzen Lillevik som er cyberpartner i PwC.
Bøter på opp til 100 millioner kroner
I mai 2023 la regjeringen frem forslag til lov om digital sikkerhet. Loven skal innlemme NIS 1-direktivet og bidra til å styrke den digitale sikkerheten i virksomheter som er særlig viktige for samfunnet og norsk økonomi. NIS2 kan bli en del av norsk lov innen oktober 2024. Vesentlige virksomheter kan få bøter på opptil €10 millioner eller 2% av deres globale årlige omsetning om ikke NIS2-regelverket overholdes.
Vi hjelper deg gjerne med smått eller stort!
Vi vet at mange synes det virker utfordrende å implementere og overholde NIS2. Det gjelder spesielt deg som ikke tidligere har møtt strenge reguleringer og rapporteringskrav. Samtidig er det en god mulighet for å sette igang med robuste cybersikkerhetstiltak i din virksomhet.
Vi vil gjerne høre fra deg om dine utfordringer. Vi har tverrfaglige team med alt fra cybereksperter til advokater, og kan hjelpe deg gjennom hele prosessen frem til etterlevelse av NIS2. Vi kan også hjelpe deg med å vurdere hvordan kravene blir for din virksomhet og hvilke tiltak du bør sette igang med.
Vil du vite mer om NIS2?
Vi tar gjerne en prat dersom det er noe du lurer på!
Trenger du hjelp med cyber?
Vi kan hjelpe deg med alt fra krisehåndtering og penetrasjonstesting til tilgangsstyring, DORA og NIS2.
Margrethe Rønning
Direktør | Cyber Trust Advisory, PwC Norway