I takt med økende digitalisering og stadig mer avanserte trusler, har EU lansert et nytt regelverk som skal sikre bedre beskyttelse av kritisk infrastruktur og samfunnsfunksjoner. NIS2-direktivet (Network and Information Security 2) trer i kraft for alle EU- og EØS-land, og får direkte konsekvenser for norske virksomheter.
Der NIS1 i hovedsak gjaldt noen få sektorer, utvider NIS2 omfanget betydelig. Direktivet gjelder nå et bredt spekter av bransjer – blant annet energi, transport, helse, vannforsyning, offentlig forvaltning, datalagring, finans og mange private leverandører av digitale tjenester. Målet er å styrke sikkerheten, redusere risiko og gjøre det enklere å respondere raskt og effektivt på digitale angrep.
Hva krever NIS2?
For virksomheter som omfattes av NIS2, innføres det en rekke nye krav. Blant de viktigste er:
-
Risikovurdering og styringssystemer: Alle relevante aktører må kartlegge IT-risiko, etablere sikkerhetstiltak og dokumentere hvordan disse følges opp.
-
Hendelseshåndtering: Det kreves etablerte rutiner for varsling og håndtering av alvorlige hendelser, med tidsfrister for rapportering.
-
Tredjepartsrisiko: Virksomheter må også kunne dokumentere hvordan de håndterer sikkerhet knyttet til leverandører og samarbeidspartnere.
-
Ledelsesansvar: Direktivet stiller klare krav til at ledelsen har et dokumentert ansvar for cybersikkerheten – med risiko for bøter ved manglende etterlevelse.
-
Sertifisering og opplæring: Opplæring av ansatte og mulig bruk av sertifiseringsordninger er anbefalt som en del av etterlevelsen.
Hvem rammes?
Både offentlige og private virksomheter kan være omfattet, og klassifiseres som enten “vesentlige” eller “viktige” enheter. Dette bestemmes ut fra størrelse, bransje og samfunnskritisk funksjon. Også underleverandører til berørte selskaper kan få krav via kontrakter og sikkerhetsstandarder.
Derfor er det viktig å ikke vente, men starte kartlegging og planlegging i god tid før implementeringsfristene trer i kraft.
Hvordan forberede seg?
Mange norske virksomheter vil måtte oppgradere sine rutiner og systemer for å møte de nye kravene. Dette handler ikke bare om IT-avdelingen – NIS2 griper inn i både styring, innkjøp, ledelse og internkontroll.
En god start er å gjennomføre en gap-analyse opp mot dagens praksis, etablere en sikkerhetspolitikk, og vurdere behov for nye systemer for dokumentasjon, varsling og risikohåndtering.
Det finnes heldigvis løsninger som forenkler arbeidet. Digitale GRC-plattformer (governance, risk and compliance) kan bidra til strukturert oppfølging og gi full oversikt over etterlevelse, risiko og tiltak – noe som kan spare tid og redusere sårbarhet betydelig.
Ta NIS2 på alvor
Med NIS2 får cybersikkerhet en ny juridisk og strategisk tyngde. Virksomheter som ikke tar direktivet på alvor, risikerer ikke bare bøter, men også alvorlige driftsavbrudd og tap av tillit.
Ved å være proaktiv og bygge inn sikkerhet i hele organisasjonen, skaper du ikke bare etterlevelse – du styrker virksomhetens fremtidige motstandskraft.