NIS2: En guide til det nye EU-direktivet for cybersikkerhet

NIS2 er det nye EU-direktivet for cybersikkerhet som trer i kraft i oktober 2024. IT-sikkerhetens GDPR, om du vil.

Nå som du og din bedrift endelig fikk tak på GDPR, kommer EU med et nytt regelverk. «Igjen…», tenker du kanskje, men dette er faktisk en god mulighet for å gjøre bedriften enda mer robust med gode sikkerhetstiltak. Og det lønner seg.

I denne artikkelen vil vi prøve å avmystifisere det nye direktivet, og ta for oss de viktigste punktene å notere seg.

NIS2 Cybersikkerhet

Hvem blir påvirket av NIS2?

NIS2 direktivet stiller krav til IT-sikkerheten i bedrifter med innenfor angitte sektorer med mer enn 50 ansatte eller en årlig omsetning på over €10 millioner. Du kan også bli påvirket dersom du jobber i en bransje som defineres som særskilt kritisk for samfunn og økonomi.

Til eksempel berøres leverandører av:

  • Bank
  • Infrastruktur
  • Energi
  • Transport
  • Vann og avløp
  • Helsetjenester
  • Offentlig administrasjon
  • Romfart

Blir du tatt for å ikke overholde det nye direktivet kan bedriften få en bot på opptil €10 millioner eller 2% av din globale årlige omsetning.

Direktivet kommer fra EU og er innført fordi vi i næringslivet spiller en større rolle for nasjonal sikkerhet enn det vi har gjort før.

Hvorfor? Fordi små og mellomstore bedrifter er attraktive mål for hackere. De har ofte dårligere IT-sikkerhet enn de største entreprisene, og er derfor en enkel inngang til de større bedriftene de jobber for. Spionasje, hacking og rekruttering av innsidere er for eksempel ikke uvanlig.

Denne trusselen er i større og større grad i ferd med å gå opp for europeiske myndigheter, og som et svar har EU utarbeidet Network Information Security 2 (NIS2). En relativt stor oppgradering fra det opprinnelige NIS-direktivet.

NIS2 krever at de berørte bedriftene skal tenke sikkerhet i alt de gjør. Fra ansettelser til kontinuerlige risikovurderinger og kriseresponsteam – IT-sikkerhet blir en kritisk del av strategien til bedrifter.

Helt konkret setter NIS2 regler til deg som bedrift på tre områder:

1. Risikostyring

Din bedrift må ha systemer for risikostyring, håndtering og rapportering av risiko. Det er også et krav om leverandørstyring og vurdering av verdikjederisiko.

2. Rapportering og lederansvar

IT-sikkerhet må bli en del av agendaen til ledelsen i din bedrift. NIS2 krever at du har en handlingsplan for håndtering og rapportering av cyberangrep til relevante myndigheter.

3. Håndheving og tilsyn

Med NIS2 vil din bedrift bli pålagt å ha internrutiner for opplæring i IT-sikkerhet. Ansatte må også ha tilgang til informasjon om tiltak for å øke cybersikkerheten i din bedrift.

Det stilles også krav til å ha planer for hva som skal skje dersom uhellet først er ute. Hvordan sikre forretningskontinuitet og hvordan håndterer dere krisen?

Veien videre

Vi anbefaler at du allerede nå undersøker hvilken relevans NIS2 vil ha for akkurat din bedrift. Akkurat som GDPR, kan NIS2 ta tid å implementere.

Vi kan hjelpe deg med å vurdere hvordan (eller om) kravene treffer din bedrift, og eventuelt hvilke tiltak du bør sette i gang med. Kontakt oss gjerne!

[ Ønsker du hjelp med NIS2 for din bedrift? ]

Ta kontakt – vi bidrar gjerne!

Dette skjemaet er beskyttet av reCAPTCHA. Googles Privacy Policy og Terms of Service gjelder.

Lei av å fylle ut skjemaer?

Du kan også ringe 51 22 70 00,  mandag–fredag kl. 07-21, eller sende noen ord til hei@upheads.no.