NIS2: En guide til det nye EUs cybersikkerhetsdirektiv

En robust cybersikkerhetsstrategi kan ikke bare beskytte virksomheten, men også bygge tillit hos kunder og partnere.

I denne artikkelen forklarer vi hva direktivet betyr og fremhever de viktigste punktene.

Hva er hensikten med NIS2?

EU har utviklet NIS2 for å heve det felles cybersikkerhetsnivået i unionen. Ved å stille høyere krav til både store og små aktører ønsker direktivet å skape et mer robust digitalt økosystem og beskytte samfunnsviktige tjenester mot cybertrusler.

Trusselbildet er klart: Små og mellomstore bedrifter har ofte svakere beskyttelse enn større aktører og blir derfor attraktive mål for hackere. Gjennom dem kan nettkriminelle få tilgang til større selskaper eller kritisk infrastruktur. NIS2 har som mål å bryte denne kjeden.

Hvem dekkes av NIS2?

NIS2 gjelder bedrifter og organisasjoner i samfunnsviktige og kritiske sektorer. Blant de berørte er:

• Banker
• Energi
• Transportere
• Vann og kloakk
• Helsetjenester
• Offentlig administrasjon
• Romindustrien
• Digitale tjenester som skyleverandører og datasentre

Bedrifter med mer enn 50 ansatte eller en årlig omsetning på over 10 millioner euro dekkes direkte. Selv mindre bedrifter kan rammes dersom de er en del av kritiske forsyningskjeder.

Dersom din bedrift ikke overholder NIS2, kan konsekvensene bli store. En bedrift kan ilegges bøter på opptil 10 millioner euro eller 2 % av selskapets globale årlige omsetning.

Hva krever NIS2?

NIS2 skjerper kravene til virksomheters cybersikkerhet og stiller spesielle krav på tre områder:

Risikostyring

• Virksomheten skal ha systemer for å identifisere, håndtere og rapportere risikoer
• Leverandørstyring og vurdering av risiko i verdikjeden er også obligatorisk

Rapportering og ledelsens ansvar

• Hendelser som påvirker virksomheten kritisk skal meldes til tilsynsmyndigheten innen 24 timer
• En oppsummerende rapport skal leveres innen 72 timer og en sluttrapport innen en måned
• Ledelsen har et personlig ansvar for å sikre overholdelse og kan holdes ansvarlig for brudd

Overholdelse og opplæring

• Virksomheten skal ha interne rutiner for opplæring i IT-sikkerhet
• Ansatte skal ha tilgang til informasjon om tiltak for å øke cybersikkerheten
• Det kreves planer for krisehåndtering og for å sikre forretningskontinuitet i tilfelle en hendelse

Slik forbereder du bedriften din på NIS2

I likhet med GDPR krever NIS2 tid og ressurser å implementere. Her er noen trinn du kan ta for å forberede deg:

1. Gjør en nåsituasjonsanalyse

Kartlegg dine nåværende cybersikkerhetsrutiner og identifiser hullene sammenlignet med kravene i NIS2.

2. Lag en helhetlig strategi for cybersikkerhet

Sikre at IT-sikkerhet er en del av virksomhetens overordnede strategi.

3. Trene ledelse og ansatte

Involver ledelsen og sørg for at alle ansatte forstår sin rolle i å beskytte virksomheten.

4. Få hjelp fra eksperter

Implementering av NIS2 kan være komplisert. Ta hjelp av spesialister for å sikre at du oppfyller kravene.

Veien videre med Upheads

NIS2 er kommet for å bli, og kravene er omfattende. Men med riktig forberedelse kan du styrke din bedrift, beskytte virksomheten din og bygge tillit i markedet.

Trenger du støtte for å komme i gang? Kontakt oss så hjelper vi deg med å analysere hvordan NIS2 påvirker din virksomhet og hvilke tiltak som kreves. Vi kan også være med deg hele veien for å sikre at din bedrift oppfyller alle kravene i regelverket – trygt og greit.