I takt med økende digitale trusler og internasjonale dataangrep har EU styrket sitt regelverk for cybersikkerhet. Dette skjer gjennom innføringen av det reviderte NIS2-direktivet, som stiller langt høyere krav til både private og offentlige virksomheter. Selv om direktivet opprinnelig er vedtatt av EU, vil det også få direkte konsekvenser for norske selskaper gjennom EØS-avtalen. Det er derfor viktig at bedrifter allerede nå setter seg inn i hvilke NIS2 krav de vil møte – og hvordan de kan møte dem.

Hva er NIS2 og hvorfor er det viktig?

NIS2, en forkortelse for Network and Information Security Directive 2, ble vedtatt for å styrke samfunnets digitale motstandskraft. Der det tidligere NIS-direktivet kun gjaldt et fåtall sektorer og store aktører, utvider NIS2 rekkevidden betydelig. Nå må også mellomstore selskaper innen energi, transport, finans, vannforsyning, helse, avfallshåndtering, digital infrastruktur og IKT-tjenester rette seg etter regelverket.

Det viktigste formålet med NIS2 er å redusere risikoen for alvorlige sikkerhetsbrudd som kan ramme samfunnskritiske funksjoner. Derfor er det innført et sett av forpliktelser alle relevante virksomheter må følge, og sanksjonene for brudd er langt strengere enn tidligere.

Oversikt over sentrale NIS2 krav

Direktivet pålegger omfattende sikkerhetsrutiner og tydelig dokumentasjon. Blant de mest sentrale kravene finner vi:

• Risikovurderinger som må oppdateres jevnlig
• Implementering av robuste sikkerhetssystemer
• Internkontroll og systemer for hendelseshåndtering
• Opplæring av nøkkelpersonell og ledelse
• Strenge krav til leverandøroppfølging
• Varslingsplikt ved sikkerhetshendelser innen 24 timer

Selskaper som ikke oppfyller kravene, kan få høye bøter eller miste tillatelser. Det er derfor avgjørende å ta kravene på alvor.

Hvordan komme i gang med forberedelsene?

For å håndtere overgangen effektivt anbefales det å starte med en modenhetsvurdering av selskapets nåværende cybersikkerhetsrutiner. Deretter bør man etablere en handlingsplan for implementering av tiltak som dekker kravene i direktivet.

Et godt utgangspunkt er å benytte seg av verktøy og systemer som støtter dokumentasjon og etterlevelse. Mange norske selskaper har allerede startet implementeringsarbeidet ved hjelp av digitale plattformer som gir struktur og kontroll over compliancearbeidet. En god ressurs for innsikt og veiledning er artikkelen om NIS2 krav fra Rismasystems, som forklarer hvordan du bør jobbe med implementering i praksis.

Fremtidsrettet cybersikkerhet

Det er liten tvil om at kravene i NIS2-direktivet vil løfte sikkerhetsnivået i hele det norske næringslivet. For mange bedrifter er dette kanskje første gang de må tenke helhetlig om digital risiko, men det gir også en mulighet til å forbedre beredskap, styring og intern kompetanse.