Innen oktober 2024 må norske bedrifter ha tilpasset seg strengere myndighetskrav for beskyttelse mot cybertrusler. NIS-direktivet oppdateres til NIS2, som blant annet fører med seg strengere krav og straffer for flere sektorer enn tidligere. I denne artikkelen får du informasjon om hva NIS2 innebærer for norske bedrifter og råd om hvordan bedriften din bør forholde seg til de nye kravene.
Det første NIS-direktivet ble vedtatt i 2016 for å beskytte kritisk infrastruktur og organisasjoner mot cybertrusler i Europa. Siden den gang har antallet og typen cyberangrep endret seg. NIS2 er derfor utviklet som en del av en større strategi for å forbedre sikkerheten i både digital og fysisk infrastruktur i hele Europa.
NIS2 omfatter flere sektorer og stiller strengere krav til sikkerhet, varsling og rapportering. Dette betyr at flere tilbydere av samfunnsviktige tjenester enn tidligere må forholde seg til cybersikkerhetskravene i direktivet. Avløpsvann, IKT-tjenester og matproduksjon er noen av de nye sektorene som innlemmes i direktivet.
I mange år har det for det meste vært snakk om IT-sikkerhet og ISO27001. Med implementeringen av NIS2 vil det bli vel så viktig å oppfylle krav om OT-sikkerhet.
Det er flere store endringer som vil påvirke hvordan bedrifter håndterer cybersikkerhet. Dette er noen av de viktigste punktene å merke seg:
Organisasjoner må ha en plan for å beskytte seg mot farer. Denne planen skal inneholde grunnleggende sikkerhetsregler som må følges. Det er viktig å merke seg at både intern og ekstern sikkerhet skal følges tett opp.
NIS2 krever at bedrifter må sørge for at leverandørene og forsyningskjedene deres er sikre. Det stilles strenge krav til testing, overvåkning og vedlikehold. Det forventes også mer bruk av kryptering for ekstra beskyttelse.
Direktivet har klare retningslinjer for varsling av hendelser, inkludert hva som skal rapporteres om og når. Det skal etableres et register for offentliggjøring av nylig oppdagede sårbarheter i hele EU.
En av de mest betydningsfulle endringene er at det ikke lenger skilles mellom operatører av essensielle tjenester og digitale tjenesteleverandører. I stedet skilles det mellom vesentlige og viktige enheter basert på størrelse, innvirkning og sektor. Hvilken betegnelse sektorene får avhenger av hvor kritisk de er for økonomien og samfunnet
Flere sektorer anses nå som kritiske, og må dermed følge kravene i direktivet. Utvalgte offentlige og private tilbydere av samfunnsviktige tjenester i til sammen 18 vil bli pålagt de nye retningslinjene.
Sektorene som betegnes som vesentlige er:
De viktige sektorene er:
Det er viktig å forstå at NIS2 ikke bare gjelder i forberedelsesfasen, men også kriseresponsfasen. Bedrifter som regnes som vesentlige eller viktige samfunnskritiske tjenester må følge retningslinjene for hendelsesrapportering nøye.
Så, hvordan kan bedrifter tilpasse seg NIS2? Her er noen viktige tiltak:
Det første steget er å forstå de nye kravene i regelverket. Vi anbefaler å sette seg godt inn i direktivet og de nye kravene. Prøv også å se hvordan disse tiltakene kan bidra til bedre oppetid.
Dette inkluderer retningslinjer for risikoanalyse, informasjonssikkerhet, forretningskontinuitet, forsyningskjedesikkerhet, hendelseshåndtering, utviklingspraksis for informasjonssystemer, kryptering og multifaktorautentisering. Noen kan bli pålagt å forholde seg til og bruke godkjente IKT-produkter, tjenester og prosesser.
Stedlige inspeksjoner, sikkerhetsrevisjoner og bevis på at nødvendige cybersikkerhetstiltak er iverksatt, kan bli nødvendig som en del av prosessen. Et viktig mål med NIS2 er å bedre samarbeidet og informasjonsdelingen rundt cybersikkerhet i Europa. Det kreves derfor at bedrifter rapporterer om alvorlige hendelser innen 24 timer etter at de blir klar over hendelsen.
Dette gjelder spesielt organisasjoner med tilknytning til OT/IT. Å oppfylle disse kravene kan være utfordrende, spesielt for OT-selskaper som kanskje ikke har etablerte rutiner for hendelseshåndtering i daglig drift, til tross for at det er kritisk for cybersikkerhet.
Mangler bedriften din ekspertise på cybersikkerhet, bør du vurdere å samarbeide med partnere som kan hjelpe deg med å implementere og opprettholde kravene. Riktig partner vil ikke bare kunne hjelpe deg med å innføre nødvendige tiltak, men å følge opp, forbedre og rapportere på sikkerhetstiltakene.
Brudd på kravene i NIS2 kan få store konsekvenser. For bedrifter er NIS2 mer enn bare et IT-ansvar. Styremedlemmer og daglig ledelse kan bli holdt personlig ansvarlig for implementeringen av direktivet i sine organisasjoner.
Straffene for brudd varierer avhengig av om bedriften kategoriseres som vesentlig eller viktig samfunnskritisk tjenesteleverandør:
For "vesentlige" samfunnskritiske tjenester kan bøtene komme på opptil 10 millioner euro eller 2% av den globale omsetningen, avhengig av hva som er høyest. "Viktige" samfunnskritiske tjenester kan få bøter på opptil 7 millioner euro eller 1,4% av den globale omsetningen, igjen avhengig av hva som er høyest.
Det er også viktig å merke seg at bøter ikke er den eneste konsekvensen av brudd. Ofte fører cyberangrep til stopp i produksjon, som kan føre til forsinkelser i leveranser, dårlig omdømme og tap av kunder. Å ta sikkerheten på alvor har derfor flere fordeler. Mange har også gjort mye for å sikre IT-nettverk, men har ikke gjort tilstrekkelige tiltak for OT-nettverket.
Fristen for norske bedrifter å tilpasse seg de nye kravene er 17. oktober 2024. Det kan føles som god tid, men det er ingen grunn til å vente med forberedelsene av den grunn. Tiden bør brukes til grundig gjennomgang av kravene, identifisering av eventuelle hull i dagens sikkerhetspraksis, og planlegging av nødvendige tiltak for å tilpasse seg de nye kravene.
Oppdager du at bedriften mangler intern kompetanse? Med mindre du velger å ansette en egen ressurs, anbefaler vi å velge en god løsningspartner.
I Last Mile er vi opptatt av å finne løsninger som sikrer best mulig verdi for kundene våre. Vi har konsulenter sertifisert på IEC 62443, og vil kunne bistå dere gjennom hele prosessen med valg og implementering av nødvendige løsninger. Vi vil også kunne bistå med løpende rådgivning knyttet til best mulig nettverksdesign, sikring av nettet og overordnet Cyber Security-strategi for OT-nettet som reduserer risiko.