logo
Search icon
    Kontakt oss
    Tilbake

    Er bedriften din klar for kravene i NIS2?

    Av Stig Mortvedt | 27. oktober 2023

    Innen oktober 2024 må norske bedrifter ha tilpasset seg strengere myndighetskrav for beskyttelse mot cybertrusler. NIS-direktivet oppdateres til NIS2, som blant annet fører med seg strengere krav og straffer for flere sektorer enn tidligere. I denne artikkelen får du informasjon om hva NIS2 innebærer for norske bedrifter og råd om hvordan bedriften din bør forholde seg til de nye kravene.

    Det første NIS-direktivet ble vedtatt i 2016 for å beskytte kritisk infrastruktur og organisasjoner mot cybertrusler i Europa. Siden den gang har antallet og typen cyberangrep endret seg. NIS2 er derfor utviklet som en del av en større strategi for å forbedre sikkerheten i både digital og fysisk infrastruktur i hele Europa.

    NIS2 omfatter flere sektorer og stiller strengere krav til sikkerhet, varsling og rapportering. Dette betyr at flere tilbydere av samfunnsviktige tjenester enn tidligere må forholde seg til cybersikkerhetskravene i direktivet. Avløpsvann, IKT-tjenester og matproduksjon er noen av de nye sektorene som innlemmes i direktivet.

    I mange år har det for det meste vært snakk om IT-sikkerhet og ISO27001. Med implementeringen av NIS2 vil det bli vel så viktig å oppfylle krav om OT-sikkerhet.

    Viktige endringer i NIS2

    Det er flere store endringer som vil påvirke hvordan bedrifter håndterer cybersikkerhet. Dette er noen av de viktigste punktene å merke seg:

    Risikostyring

    Organisasjoner må ha en plan for å beskytte seg mot farer. Denne planen skal inneholde grunnleggende sikkerhetsregler som må følges. Det er viktig å merke seg at både intern og ekstern sikkerhet skal følges tett opp.

    NIS2 krever at bedrifter må sørge for at leverandørene og forsyningskjedene deres er sikre. Det stilles strenge krav til testing, overvåkning og vedlikehold. Det forventes også mer bruk av kryptering for ekstra beskyttelse.

    Varsling av hendelser

    Direktivet har klare retningslinjer for varsling av hendelser, inkludert hva som skal rapporteres om og når. Det skal etableres et register for offentliggjøring av nylig oppdagede sårbarheter i hele EU.

    Ny kategorisering av bedrifter

    En av de mest betydningsfulle endringene er at det ikke lenger skilles mellom operatører av essensielle tjenester og digitale tjenesteleverandører. I stedet skilles det mellom vesentlige og viktige enheter basert på størrelse, innvirkning og sektor. Hvilken betegnelse sektorene får avhenger av hvor kritisk de er for økonomien og samfunnet

    Flere utsatte sektorer

    Flere sektorer anses nå som kritiske, og må dermed følge kravene i direktivet. Utvalgte offentlige og private tilbydere av samfunnsviktige tjenester i til sammen 18 vil bli pålagt de nye retningslinjene.

    Sektorene som betegnes som vesentlige er:

    • Energi
    • Transport
    • Bank
    • Finansmarkedsinfrastrukturer
    • Helse
    • Drikkevann
    • Avløpsvann
    • Digital infrastruktur
    • IKT-tjenester
    • offentlig forvaltning (sentral og regional)
    • Romvirksomhet.

    De viktige sektorene er:

    • Post - og kurertjenester
    • Avfallshåndtering
    • Produksjon og distribusjon av kjemikalier
    • Matproduksjon
    • Produksjon av visse varer (som medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner og transportutstyr)
    • Tilbydere av digitale tjenester
    • Forskning

    shutterstock_1477648412-1

     

    Implementering og tiltak for tilpasning

    Det er viktig å forstå at NIS2 ikke bare gjelder i forberedelsesfasen, men også kriseresponsfasen. Bedrifter som regnes som vesentlige eller viktige samfunnskritiske tjenester må følge retningslinjene for hendelsesrapportering nøye.

    Så, hvordan kan bedrifter tilpasse seg NIS2? Her er noen viktige tiltak:

    Forstå kravene

    Det første steget er å forstå de nye kravene i regelverket. Vi anbefaler å sette seg godt inn i direktivet og de nye kravene. Prøv også å se hvordan disse tiltakene kan bidra til bedre oppetid.

    Implementer nødvendige tiltak

    Dette inkluderer retningslinjer for risikoanalyse, informasjonssikkerhet, forretningskontinuitet, forsyningskjedesikkerhet, hendelseshåndtering, utviklingspraksis for informasjonssystemer, kryptering og multifaktorautentisering. Noen kan bli pålagt å forholde seg til og bruke godkjente IKT-produkter, tjenester og prosesser.

    Vær forberedt på inspeksjoner, revisjoner og strengere krav til rapportering

    Stedlige inspeksjoner, sikkerhetsrevisjoner og bevis på at nødvendige cybersikkerhetstiltak er iverksatt, kan bli nødvendig som en del av prosessen. Et viktig mål med NIS2 er å bedre samarbeidet og informasjonsdelingen rundt cybersikkerhet i Europa. Det kreves derfor at bedrifter rapporterer om alvorlige hendelser innen 24 timer etter at de blir klar over hendelsen.

    Dette gjelder spesielt organisasjoner med tilknytning til OT/IT. Å oppfylle disse kravene kan være utfordrende, spesielt for OT-selskaper som kanskje ikke har etablerte rutiner for hendelseshåndtering i daglig drift, til tross for at det er kritisk for cybersikkerhet.

    Søk ekstern ekspertise

    Mangler bedriften din ekspertise på cybersikkerhet, bør du vurdere å samarbeide med partnere som kan hjelpe deg med å implementere og opprettholde kravene. Riktig partner vil ikke bare kunne hjelpe deg med å innføre nødvendige tiltak, men å følge opp, forbedre og rapportere på sikkerhetstiltakene.

    Konsekvenser av brudd

    Brudd på kravene i NIS2 kan få store konsekvenser. For bedrifter er NIS2 mer enn bare et IT-ansvar. Styremedlemmer og daglig ledelse kan bli holdt personlig ansvarlig for implementeringen av direktivet i sine organisasjoner.

    Straffene for brudd varierer avhengig av om bedriften kategoriseres som vesentlig eller viktig samfunnskritisk tjenesteleverandør:

    For "vesentlige" samfunnskritiske tjenester kan bøtene komme på opptil 10 millioner euro eller 2% av den globale omsetningen, avhengig av hva som er høyest. "Viktige" samfunnskritiske tjenester kan få bøter på opptil 7 millioner euro eller 1,4% av den globale omsetningen, igjen avhengig av hva som er høyest.

    Det er også viktig å merke seg at bøter ikke er den eneste konsekvensen av brudd. Ofte fører cyberangrep til stopp i produksjon, som kan føre til forsinkelser i leveranser, dårlig omdømme og tap av kunder. Å ta sikkerheten på alvor har derfor flere fordeler. Mange har også gjort mye for å sikre IT-nettverk, men har ikke gjort tilstrekkelige tiltak for OT-nettverket.

    Gode forberedelse er avgjørende

    Fristen for norske bedrifter å tilpasse seg de nye kravene er 17. oktober 2024. Det kan føles som god tid, men det er ingen grunn til å vente med forberedelsene av den grunn. Tiden bør brukes til grundig gjennomgang av kravene, identifisering av eventuelle hull i dagens sikkerhetspraksis, og planlegging av nødvendige tiltak for å tilpasse seg de nye kravene.

    Oppdager du at bedriften mangler intern kompetanse? Med mindre du velger å ansette en egen ressurs, anbefaler vi å velge en god løsningspartner.

    I Last Mile er vi opptatt av å finne løsninger som sikrer best mulig verdi for kundene våre. Vi har konsulenter sertifisert på IEC 62443, og vil kunne bistå dere gjennom hele prosessen med valg og implementering av nødvendige løsninger. Vi vil også kunne bistå med løpende rådgivning knyttet til best mulig nettverksdesign, sikring av nettet og overordnet Cyber Security-strategi for OT-nettet som reduserer risiko.

    Temaer

    OT-cybersikkerhet NIS2

    Stig Mortvedt's photo

    Av: Stig Mortvedt

    Stig Mortvedt er business manager Cyber Security løsninger for kritisk infrastruktur i Last Mile AS. Han har bred erfaring fra både salg, forretningsutvikling og ledelse i ulike bransjer, både som leverandør, forhandler og sluttbruker. Han har over 25 års erfaring fra Telecom og IT-bransjen hvor han hovedsakelig jobbet innen salg og ledelse både nasjonalt og internasjonalt. De siste 10 årene har han jobbet med fokus på forretningsutvikling innen industrisektoren og hvordan man skal sikre OT-infrastrukturen med fleksible, skalerbare og brukervennlige cyber løsninger. Stig er økonom og er opptatt av å få kommunisert nytteverdi og behov for endringsledelse til beslutningstakere slik at investeringene blir lønnsomme, og norske industriarbeidsplasser blir bevart.