Hvilke konkrete sikkerhetstiltak krever NIS2 at virksomheter gjennomfører?

Hvilke konkrete sikkerhetstiltak krever NIS2 at virksomheter gjennomfører?

Det er spørsmål nummer 2 når du har funnet ut at NIS2-direktivet gjelder din virksomhet, og tema for vår artikkel i Lov & Data som nylig ble publisert. Svaret er ikke helt enkelt når tilnærmingen skal være risiko- og ‘allfare’-basert.

Minimumskravene fastsettes i NIS2 art. 21 (2) og 20 (2), og omfatter blant annet krav til:

• Risikovurdering og styring: Regelmessige risikovurderinger for å identifisere potensielle sikkerhetstrusler og svakheter i nettverks- og informasjonssystemer (NIS) må gjennomføres.
• Beskyttelse: Tiltak må iverksettes for å beskytte nettverks- og informasjonssystemer mot uautorisert tilgang, endringer, tap, skade eller ødeleggelse.
• Oppdagelse: Mekanismer for å oppdage og analysere sikkerhetshendelser og trusler må på plass.
• Respons og gjenopprettelse: Tiltak må være på plass for å reagere på sikkerhetshendelser og gjenopprette systemer til normal drift.
• Sikkerhetsbevissthet og opplæring: Ledelsen må være opplært i cybersikkerhet og informert om beste praksis for å minimere risiko.

I en artikkel publisert i Lov & Data gir advokat Kristian Foss og cybersikkerhetsekspert Christer Berg Johannesen en grundig gjennomgang av kravene, med mål om å gjøre dem konkrete og forståelige for praktisk anvendelse. Du kan lese artikkelen her.

Her er seks innledende skritt for å komme igang:

1. Forankring: Styret og ledelsen må involveres og forstå risikoen. Utarbeid et white-paper eller lignende og/eller presenter problemstillingen i styre- og ledelsesmøter.
2. Kartlegging: Identifiser kritiske systemer, leverandører og data. Dokumenter på egnet sted.
3. Risikovurdering: Gjennomfør årlig risikovurdering og GAP-analyse mot NIS2.
4. Planlegge tiltak: Lag en prioriteringsliste over hva som må på plass. Koordiner med andre regelverk for å redusere administrasjon.
5. Iverksettelse: Implementer tiltak og oppdater rutiner.
6. Testing og forbedring: Test planer, øv, og oppdater planer og systemer jevnlig.

NIS2 stiller omfattende krav til sikkerhet, men gir samtidig virksomhetene handlingsrom til å tilpasse tiltak etter risiko og størrelse. Virksomhetenes jobb blir å finne riktig nivå og vise at den har gjennomført nødvendige tiltak.

Lei av flere regler? Her er et motivasjonsforslag: Iverksett tiltak for å bli sikrere, ikke for å etterleve. Papiretterlevelse med elendig sikkerhet er fullt mulig.

Det siste uformelle vi har fått med oss, er at høringsnotatet for innføringen av NIS2 er forsinket, angivelig på grunn av forsinkelser i underliggende etater. Høringen forventes derfor tidligst å finne sted høsten 2025.

For de som ønsker å gi innspill til NIS2-forslaget, er det viktig å være forberedt når høringen åpner. Et aktuelt tema for kommentarer kan være nivået på gebyrer. I høringsnotatet for innføringen av NIS1, publisert 11. september 2024, foreslo departementet at norske virksomheter skal kunne ilegges gebyrer på opptil 4 % av årsomsetningen – en dobling sammenlignet med NIS2-direktivets grense på 2 %. Det var imidlertid uklart om dette skulle gjelde foretakets omsetning alene eller konsernets samlede omsetning.

For spørsmål eller ytterligere informasjon, ta gjerne kontakt med advokat Kristian Foss (kf@bull.no), en av Norges fremste eksperter på NIS2-direktivet og relaterte juridiske problemstillinger. Øvrig kontaktinformasjon finner du også her.