Selv om Norge ikke er en del av EU, implementerer vi en stor del av forskjellige EU-regelverk i norsk lov gjennom EØS. Det såkalte NIS2-direktivet er et eksempel på hvordan et EU-regelverk også blir en del av den norske lovgivningen, dette direktivet er relevant for mange ulike norske virksomheter. Hvis man oppfyller NIS2-regelverket i norsk lov på en god måte, vil det bidra til tryggere og sikrere forretningsdrift.
Derfor er NIS2-direktivet viktig
Hvis du skal ta i bruk programvare og støttesystemer knyttet til NIS2 direktivet, er det også viktig å ha en god forståelse av regelverket. NIS2 handler i stort om nettverks- og informasjonssikkerhet, det er også de begrepene som på engelsk er opprinnelsen til forkortelsen. NIS2 er en ny versjon av et tilsvarende regelverk som trådte i kraft allerede i år 2018.
Utviklingen innenfor nettverks- og informasjonssikkerhet er svært dynamisk, og det er derfor ikke rart at et regelverk som ble vedtatt for åtte år siden, og som trådte i kraft for seks år siden, er klart for utskiftning. Formålet med et nytt regelverk er å ytterligere styrke cybersikkerheten, samtidig som man beskytter kritiske tjenester og kritisk infrastruktur i EU- og EØS-området.
Hvilke bransjer er omfattet av NIS2?
NIS2 omfatter et relativt bredt utvalg bransjer, utvidet virkeområde er en av de større endringene i NIS2 sammenlignet med det opprinnelige NIS-direktivet. I stort er de ulike sektorene som omfattes av NIS2 delt inn i to grupper, essensielle sektorer og viktige sektorer.
Essensielle sektorer omfatter bransjer og brede fagområder som er helt avgjørende for at samfunnet skal fungere. Energi, transport, finans, helse, drikke- og avløpsvann, digital infrastruktur, offentlig administrasjon og luft- og romfart er helt kritisk for oss i hverdagen.
Viktige sektorer er definert som å være ikke-essensielle, samtidig som det er vanskelig å se for seg en hverdag uten disse tjenestene: post- og pakketjenester, avfallshåndtering, kjemiske produkter, mat og drikke, legemidler, elektronikk, optisk utstyr, maskiner og kjøretøy, sammen med leverandører av markedsplasser på nett, søkemotorer og sosiale medier.
Hva betyr NIS2 helt konkret for en virksomhet?
Kravene i NIS2 er komplekse, derfor er det viktig med et godt støttesystem. I stort handler NIS2 om ledelsens ansvar, risikoanalyse og risikohåndtering, sikkerhetstiltak, kontinuitet i virksomheten, rapportering og leverandørkjeden.
Regelverket stiller krav til både god styring, risikostyring, konkrete sikkerhetstiltak, rapportering og kontinuitet i driften. Konsekvensene av manglende overholdelse kan føre til reaksjoner fra myndigheten, men i tillegg også høyere risiko for alvorlige sikkerhetsbrudd i driften.