NIS2: Alt du må vite om det nye direktivet

Risikostyring

Virksomheter er pålagt å gjennomføre en systematisk analyse av risiko og innføre retningslinjer for beskyttelse av informasjon og kritiske systemer.

Retningslinjene skal utformes med en "all-hazard"-tilnærming. Det betyr at den skal ta hensyn til alle mulige scenarier som kan true cybersikkerheten. Retningslinjene må ta hensyn til risikoen, størrelsen, kostnaden, virkningen og alvorlighetsgraden av hendelser som den enkelte virksomhet står overfor.

Innen disse områdene kan du forvente å måtte gjøre noe:

Leverandørsikkerhet

Virksomheter må vurdere sikkerhetsrelaterte faktorer i sin relasjon med leverandører. I praksis betyr dette at virksomheter må få på plass tredjeparts-risikostyring, hvor analyse av sårbarheter og risikoer hos leverandører gjennomføres jevnlig og tiltak følges opp.

Forebygging av hendelser

Vesentlige og viktige virksomheter må implementere tilpassede tekniske, operasjonelle og organisatoriske tiltak for risikostyring og forebygging av cyberangrep på virksomhetens tjenester og leveranser. I tillegg skal virksomheter implementere tiltak for hendelseshåndtering, policyer for risikoanalyse og informasjonssystemsikkerhet. Det skal også etableres prosedyrer for analyse av risikostyringstiltak, samt opplæring og cyberhygiene.  

Kontinuitet og kriseledelse

Vesentlige og viktige virksomheter må sikre kontinuitet i driften ved en større cyberhendelse. Virksomhetene må derfor jobbe med å minimere påvirkning av virksomhetens drift gjennom tiltak innenfor virksomhetskontinuitet, disaster recovery og krisehåndtering.

Les også: Slik automatiserer du risikostyringen med riktig GRC-verktøy

Rapportering og lederansvar

Vesentlige og viktige virksomheter skal rapportere - uten unødig forsinkelse - enhver hendelse som har betydelig innvirkning på leveringen av deres tjenester til kompetent nasjonal myndighet.

For å overholde rapporteringsplikten må virksomheter sende inn:

• Initiell varsel: sendes innen 24 timer med en kort beskrivelse om hendelsen stammer fra ulovlig eller ondsinnet aktivitet eller har potensielle grenseoverskridende konsekvenser.

• Hendelsesvarsling: sendes etter senest 72 timer med oppdatert informasjonen og en foreløpig vurdering av hendelsens alvorlighetsgrad og virkninger.

• Mellomrapport: sendes etter forespørsel fra CSIRT eller kompetent nasjonal myndighet med relevante statusoppdateringer i forbindelse med hendelses- og krisehåndtering.

• Sluttrapport: sendes senest en måned etter hendelsesvarslingen. Rapporten skal gi en grundig beskrivelse av hendelsen som omfatter rotårsak, eventuelle mitigerende tiltak og eventuelle grenseoverskridende effekter.

Ledere må heve cyberkompetansen sin jevnlig

Styringsorganene til vesentlige og viktige virksomheter må godkjenne risikostyringstiltak for nettsikkerhet og overvåke tiltakene. De kan samtidig holdes ansvarlig for brudd "på regelverket" i deres virksomhet.

Alle medlemmer av styringsorganer skal læres opp med jevne mellomrom for å sikre tilstrekkelig kunnskap til å identifisere risikoer og vurdere hvordan risikostyring av cybersikkerhet påvirker virksomhetens tjenester.

Les også: Cybersikkerhet på 1-2-3

Håndheving og tilsyn

Dersom ikke regelverket følges kan du risikere bot:

• Vesentlige virksomheter kan få bøter på opptil €10 millioner eller 2% av deres globale årlige omsetning.
• Viktige virksomheter kan få bøter på opptil €7 millioner eller 1,4 % av deres globale årlige omsetning.

Sammenlignet med NIS 1 introduserer NIS 2 strengere krav for tilsyn som skal sikre et høyere etterlevelsesnivå.

Tilsynsregimet er strengere for vesentlige virksomheter enn for viktige virksomheter. 

• Vesentlige virksomheter blir underlagt et omfattende forebyggende tilsynsregime, der de nasjonale tilsynsmyndighetene har mulighet til å utføre tilfeldig tilsyn, utføre sikkerhetsrevisjoner, samt be om innsyn i informasjon og bevis for etterlevelse.
• Viktige virksomheter blir underlagt et noe mindre omfattende tilsynsregime hvor tilsyn kan være aktuelt dersom det foreligger informasjon om at krav ikke er overholdt.