Hva er NIS2-direktivet?

Hva er NIS2-direktivet
og hva betyr det for min virksomhet?

NIS (Network and Information Security) er EUs lovgivning om cybersikkerhet. NIS1-direktivet ble vedtatt av EU i 2016, i fjor kom NIS2-direktivet som erstatter NIS1. NIS stiller krav til medlemsstatene om å sørge for at landets IKT-sikkerhet holder et visst nivå. Den enkelte medlemsstat plikter å pålegge operatører og leverandører av samfunnsviktige tjenester sikkerhetskrav og varslingsplikt, samt å etablere en nasjonal sikkerhetsberedskap.

I motsetning til NIS1 har NIS2 klare kriterier for hvem som skal omfattes av direktivet.

Hvem er omfattet av NIS2?

Alle virksomheter av en viss størrelse (mer enn 50 ansatte) og en viss type beskrevet i direktivet skal være omfattet. Også mindre virksomheter må følge krav i direktivet dersom de har en særlig viktig betydning for samfunnet.

Direktivet skiller mellom «vesentlige/essential» og «viktige/important» tjenester og entiteter som leverer disse tjenestene er omfattet. Eniteter er identifisert gjennom sektorer, undersektorer og entietsbeskrivelser. Tabellen under viser de aktuelle sektorene – undersektorer og entitetstyper er nærmere angitt i direktivets vedlegg 1 og 2. Enkelte av disse sektorene er også nevnt i NIS1 mens andre er nye i NIS2. Det er også verdt å merke seg at noen av de opprinnelige sektorene er utvidet til flere undersektorer og entitetstyper i NIS2.

Sektorer med vesentlige tilbydere av samfunnviktige tjenesterSektorer med viktige tilbydere av tjenester
EnergiPost - og kurertjenester
TransportAvfallshåndtering
BankProduksjon og distribusjon av kjemikalier
FinansmarkedsinfrastrukturerMatproduksjon
HelseProduksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)
DrikkevannTilbydere av digitale tjenester
AvløpsvannForskning
Digital infrastruktur
IKT-tjenester
Offentlig forvaltning (sentral og regional)
Romvirksomhet

Som en del av innføringen av NIS1-direktivet har regjeringen foreslått Lov om digital sikkerhet – heretter kalt digitalsikkerhetsloven.

Hvilke krav stiller NIS2 til virksomheter og når vil disse tre i kraft?

NIS1-direktivet ble vedtatt av EU i 2016 og er ennå ikke fullt ut implementert i Norge. NIS2-direktivet erstatter NIS1 og skal være gjennomført i medlemsstatenes nasjonale rett innen 24. oktober 2024. NIS2 er foreløpig ikke tatt opp i EØS, men den norske regjeringen har uttrykt intensjon om implementering i Norge innen denne fristen uavhengig av dette.

Nettverkspanel, svitsj og kabel i datasenter.

Denne har vært ute på høring, men har ennå ikke tredd i kraft. Det er ventet at loven vil utvides til å oppfylle NIS2, enten før den trer i kraft eller som en oppdatering innen fristen 24. oktober 2024. De endelige kravene til virksomheter i Norge vil ikke bli klare før digitalsikkerhetsloven er ferdigstilt. Likevel gir direktivet en rekke krav til hva dette lovverket skal inneholde:

  • Tiltak for å håndtere risiko
    Etter artikkel 21 nr. 1 pålegges medlemsstatene å sikre at tilbydere iverksetter hensiktsmessige og proporsjonale tekniske, operasjonelle og organisatoriske tiltak for å håndtere risiko i nettverk og informasjonssystemer. Direktivet inneholder en minimumsliste av områder det skal gjøres tiltak på. Disse tiltakene er i tråd med anbefalt god praksis for sikkerhet.
  • Mer presise og effektive bestemmelser om varsling av hendelser
    Direktivet krever en klar prosess for varsling av hendelser, hva det skal varsles om og når. Etter artikkel 23 nr. 1 skal det varsles om hendelser som har en betydelig innvirkning på tjenesteleveransen, i nr. 3 står det beskrevet hva som utgjør en slik hendelse og i nr. 4 er det angitt detaljerte bestemmelser om tidspunktene for varsling. For eksempel angis det at virksomheten har krav om å varsle om betydelige hendelser innen 24 timer etter at de ble oppdaget. Videre skal en foreløpig rapport om hendelsen leveres innen 72 timer.

Bestemmelser om tilsyn og sanksjoner

Myndigheter skal føre tilsyn ved mistanke om at en tjenestetilbyder ikke overholder kravene i NIS2. NIS2 skiller mellom tilbydere av vesentlige og viktige samfunnsviktige tjenester. Tilbydere av vesentlige samfunnsviktige tjenester kan også motta uanmeldt tilsyn. Videre kan myndigheter suspendere eventuelle sertifikater eller tillatelser vesentlige tilbydere måtte ha dersom pålegg om å gjennomføre tiltak ikke etterleves innen frister bestemt av myndighetene. Dette er angitt i artikkel 32.

Tilbydere av viktige samfunnsviktige tjenester skal underlegges et mindre strengt tilsynsregime. For eksempel skal tilsyn overfor tilbydere av viktige samfunnsviktige tjenester kun skje dersom det foreligger informasjon om at tilbyderen ikke overholder kravene i direktivet, det vil si man vil ikke få uanmeldt tilsyn. Dette er angitt i artikkel 33.

The people worker women engineer work control at power plant energy industry manufacturing.
NIS2 regulerer detaljert hvordan overtredelser av direktivet skal sanksjoneres.

Blant annet pålegges medlemsstatene å sørge for at tilsynsmyndigheten kan ilegge administrativ sanksjon ved overtredelse av direktivet. For tilbydere av vesentlige tjenester skal størrelsestaket på sanksjon være høyeste av 10 000 000 EUR eller 2% av virksomhetens totale «worldwide annual turnover in the preceding financial year». For tilbydere av viktige tjenester skal størrelsestaket på sanksjon være høyeste av 7 000 000 euro eller 1.4% av virksomhetens totale «worldwide annual turnover in the preceding financial year».

Les mer om NIS2 direktivet her: