Flere bedrifter enn før er bekymret for å bli hacket. Angrepene øker og metodene er mer komplekse. Derfor har EU utgitt NIS-direktivene (Network & Information Security) som stiller krav til den digitale sikkerheten for utvalgte kritiske samfunnsområder. NIS2 trådte i kraft i januar 2023 i EU.
Følger du NIS 2-kravene vil du få større tillit hos dine kunder. Og du vil være bedre rustet mot cyberangrep.
Direktivet gjelder primært for virksomheter i utvalgte sektorer med over 50 ansatte og en årlig omsetning/balanse på minst €10 millioner. Samtidig kan mindre virksomheter med en avgjørende rolle for samfunn og økonomi også bli berørt av direktivet. NIS2 skiller mellom vesentlige (sectors of high criticality) og viktige (other critical sectors) sektorer:
Virksomheter er pålagt å gjennomføre en systematisk analyse av risiko og innføre retningslinjer for beskyttelse av informasjon og kritiske systemer.
Retningslinjene skal utformes med en "all-hazard"-tilnærming. Det betyr at den skal ta hensyn til alle mulige scenarier som kan true cybersikkerheten. Retningslinjene må ta hensyn til risikoen, størrelsen, kostnaden, virkningen og alvorlighetsgraden av hendelser som den enkelte virksomhet står overfor.
Innen disse områdene kan du forvente å måtte gjøre noe:
Virksomheter må vurdere sikkerhetsrelaterte faktorer i sin relasjon med leverandører. I praksis betyr dette at virksomheter må få på plass tredjeparts-risikostyring, hvor analyse av sårbarheter og risikoer hos leverandører gjennomføres jevnlig og tiltak følges opp.
Vesentlige og viktige virksomheter må implementere tilpassede tekniske, operasjonelle og organisatoriske tiltak for risikostyring og forebygging av cyberangrep på virksomhetens tjenester og leveranser. I tillegg skal virksomheter implementere tiltak for hendelseshåndtering, policyer for risikoanalyse og informasjonssystemsikkerhet. Det skal også etableres prosedyrer for analyse av risikostyringstiltak, samt opplæring og cyberhygiene.
Vesentlige og viktige virksomheter må sikre kontinuitet i driften ved en større cyberhendelse. Virksomhetene må derfor jobbe med å minimere påvirkning av virksomhetens drift gjennom tiltak innenfor virksomhetskontinuitet, disaster recovery og krisehåndtering.
Les også: Slik automatiserer du risikostyringen med riktig GRC-verktøy
– NIS2 sier blant annet at vesentlige og viktige virksomheter må analysere risikoen hos tredjepartsleverandører, sier Margrethe som hjelper bedrifter med å implementere NIS2.
Vesentlige og viktige virksomheter skal rapportere - uten unødig forsinkelse - enhver hendelse som har betydelig innvirkning på leveringen av deres tjenester til kompetent nasjonal myndighet.
Initiell varsel: sendes innen 24 timer med en kort beskrivelse om hendelsen stammer fra ulovlig eller ondsinnet aktivitet eller har potensielle grenseoverskridende konsekvenser.
Hendelsesvarsling: sendes etter senest 72 timer med oppdatert informasjonen og en foreløpig vurdering av hendelsens alvorlighetsgrad og virkninger.
Mellomrapport: sendes etter forespørsel fra CSIRT eller kompetent nasjonal myndighet med relevante statusoppdateringer i forbindelse med hendelses- og krisehåndtering.
Sluttrapport: sendes senest en måned etter hendelsesvarslingen. Rapporten skal gi en grundig beskrivelse av hendelsen som omfatter rotårsak, eventuelle mitigerende tiltak og eventuelle grenseoverskridende effekter.
Styringsorganene til vesentlige og viktige virksomheter må godkjenne risikostyringstiltak for nettsikkerhet og overvåke tiltakene. De kan samtidig holdes ansvarlig for brudd "på regelverket" i deres virksomhet.
Alle medlemmer av styringsorganer skal læres opp med jevne mellomrom for å sikre tilstrekkelig kunnskap til å identifisere risikoer og vurdere hvordan risikostyring av cybersikkerhet påvirker virksomhetens tjenester.
Les også: Cybersikkerhet på 1-2-3
Sammenlignet med NIS 1 introduserer NIS 2 strengere krav for tilsyn som skal sikre et høyere etterlevelsesnivå.
Tilsynsregimet er strengere for vesentlige virksomheter enn for viktige virksomheter.
- Hensikten med NIS2 er å sikre grunnleggende digital sikkerhet i virksomheter som har særlig betydning for samfunnet. Kontakt meg gjerne om hvordan du kan gjøre det i din virksomhet, sier Eldar Lorentzen Lillevik som er cyberpartner i PwC.
I mai 2023 la regjeringen frem forslag til lov om digital sikkerhet. Loven skal innlemme NIS 1-direktivet og bidra til å styrke den digitale sikkerheten i virksomheter som er særlig viktige for samfunnet og norsk økonomi. NIS2 kan bli en del av norsk lov innen oktober 2024. Vesentlige virksomheter kan få bøter på opptil €10 millioner eller 2% av deres globale årlige omsetning om ikke NIS2-regelverket overholdes.
Vi vet at mange synes det virker utfordrende å implementere og overholde NIS2. Det gjelder spesielt deg som ikke tidligere har møtt strenge reguleringer og rapporteringskrav. Samtidig er det en god mulighet for å sette igang med robuste cybersikkerhetstiltak i din virksomhet.
Vi vil gjerne høre fra deg om dine utfordringer. Vi har tverrfaglige team med alt fra cybereksperter til advokater, og kan hjelpe deg gjennom hele prosessen frem til etterlevelse av NIS2. Vi kan også hjelpe deg med å vurdere hvordan kravene blir for din virksomhet og hvilke tiltak du bør sette igang med.
Vi tar gjerne en prat dersom det er noe du lurer på!
Vi kan hjelpe deg med alt fra krisehåndtering og penetrasjonstesting til tilgangsstyring, DORA og NIS2.
Margrethe Rønning
Direktør | Cyber Trust Advisory, PwC Norway