NIS2: Det vil gjelde deg også
NIS2-direktivet fra EU kan bli kostbart for deg som leder, hvis virksomheten din ikke følger det. Direktivet vil også gjelde mange helt vanlige norske bedrifter.
Samtidig som vi beveger oss inn i en tid med økende usikkerhet og ustabilitet nasjonalt og geopolitisk, spiller det digitale en stadig viktigere rolle. EU har tatt situasjonen på alvor. Nå skal selskapsledelsen stilles til ansvar ved manglende kontroll på IT-sikkerhet.
Selv om direktivet skal beskytte kritisk infrastruktur på tvers av EU, vil det få følger for helt vanlige norske virksomheter. Lenge før det blir til lov i EØS-landet Norge, ifølge sikkerhetseksperter.
Selv om Norge ikke er et EU-land, må vi forholde oss til EU-direktiver for å få tilgang til det europeiske markedet. NIS2 gjelder allerede i EU, så selv om Norge bare er et EØS-land, gjelder det allerede for bedrifter som har med EU-land å gjøre allerede.
– Sannheten er at dette vil treffe oss gjennom verdikjedene vi er en del av. Det er like greit å forholde seg til først som sist, sier Nils Erland Mikkelsen, Partner Business Development Specialist - Security, i Cisco Norge.
Nils Erland Mikkelsen, Partner Business Development Specialist - Security, i Cisco Norge.
– Dette er ikke først og fremst mat for IT-avdelingen. NIS2 handler om lederansvar, oversikt og kontroll på sikkerhet, legger han til.
Direktivet gjelder også underleverandører. Når det blir nedfelt i lov også i Norge om få år, vil det gjelder langt flere verdikjeder. Mikkelsen får støtte fra Thomas Tømmernes i Atea, som også tror dette i praksis vil være et krav til bedrifter om kort tid, og riset bak speilet for de som velger en snarvei:
– Det er viktig at norske ledere engasjerer seg i hva NIS2 er, fordi ledelsen vil bli holdt personlig ansvarlig hvis det ikke etterleves, sier Tømmernes, IT-sikkerhetsdirektør i Atea-konsernet, som har et tett teknologipartnerskap med Cisco.
Thomas Tømmernes er IT-sikkerhetsdirektør i Atea-konsernet.
Hva sier egentlig NIS2?
NIS2-direktivet har som mål å styrke motstandskraften mot cyberangrep og øke sikkerheten i kritisk infrastruktur på tvers av EU-landene. Det stiller strengere krav til risikostyring og hendelsesrapportering.
– Det er sanksjoner ved manglende etterlevelse i virksomheter som omfattes, og det er her ledelsen stilles direkte til ansvar, sier Mikkelsen.
NIS2 stiller ikke nødvendigvis teknologiske krav, men krav om oversikt over sikkerheten på tvers av infrastruktur og løsninger, samt formelle krav til rapportering på tvers av unionen. Og – ikke minst – tydelige ansvarslinjer og sanksjoner.
Lytt til podkasten Før alarmen går og lær mer om NIS2:
På linje med GDPR?
– Kanskje strengere også. I dag kan Datatilsynet gjøre ting reaktiv, i etterkant av hendelser. Framover vil mandatet være at de kan gå inn i en hvilken som helst norsk bedrift og sjekke om sikkerheten er i tråd med direktivet, sier Mikkelsen.
Man kan altså risikere bøter for manglende etterlevelse, selv om det ikke har vært noen hendelse?
– Ja. Datatilsynet har varslet offentlig at et av deres mandater vil være varslet revisjon, ikke basert på mistanke, men kun for å sjekke.
Hvem bør bekymre seg?
Nasjonal sikkerhetsmyndighet (NSM) har som oppgave å passe på kritisk infrastruktur. De følger tett opp de store virksomhetene som forvalter den. Dette er kun en liten del av norske bedrifter, men med NIS2 blir ansvaret dyttet nedover i verdikjedene, til underleverandører og deres underleverandører.
– Disse store virksomhetene har det meste på stell allerede. Jeg er mer bekymret for underleverandørene og deres underleverandører igjen. De må kunne vise til full kontroll i forkant før de inngår kontrakten.
Han ser for seg en rapporteringsplikt inn i verdikjeden man jobber i, for å kunne tilfredsstille løpende risikovurderinger. Lederansvaret løfter problemstillingen opp på et nytt nivå. Administrerende direktør og styreleder kan bli ansvarliggjort for manglende kontroll.
– Når de som eier en underkontrakt kan bli stilt ansvarlig, vil de finne måter å dytte ansvaret over på de som leverer underkontrakten. Resultatet er at hele verdikjeden i praksis må forholde seg til NIS2, sier han.
Skaff en verktøykasse
Mikkelsen anbefaler å benytte en verktøykasse med produkter og tjenester som tilfredsstiller kravene i NIS2. Man trenger ikke å være særlig stor før det blir veldig komplekst å skulle følge dette opp i et regneark og gjøre rapporteringen selv.
Da gjelder det å velge en verktøykasse med byggeklosser som ikke låser deg til en bestemt løsning.
– Man vet ikke hva fremtiden vil bringe, hvorvidt det er sikkert eller økonomisk å ha data hos deg selv, i en privat eller i den ene eller andre offentlige skyen. Det er viktig å ha noe som gir det frihet til å velge, sier han.
Mens IT-løsningen som helhet kan være kompleks og sammensatt, bør sikkerhetsløsningen være så helhetlig som mulig. Fordi på sikkerhet betyr kompleksitet risiko.
Men kanskje det aller viktigste akkurat nå, er å komme i gang. Hvis du skal være en del av morgendagens integrerte verdi
kjeder kan det bli dyrt å vente.
– Start å bygge inn prinsippene i NIS2 nå. Det er billigere enn å ta et skippertak den dagen det formelle kravet ligger på bordet, avslutter Mikkelsen.
- NIS2-direktivet stiller strengere krav til cybersikkerhet, risikohåndtering og hendelseshåndtering for kritisk infrastruktur i EU og EØS. Cisco leverer helhetlige sikkerhetsløsninger som hjelper virksomheter med å oppfylle disse kravene.
- Cisco Secure Access – En moderne Zero Trust-løsning som gir sikker og enkel tilgang til applikasjoner og ressurser – uansett hvor brukeren er. Med kontinuerlig risikovurdering og policybasert tilgangskontroll, bidrar den til å redusere angrepsflaten og oppfylle NIS2s krav til identitetssikring og tilgangsstyring.
- Cisco Umbrella – Forebygger cyberangrep med DNS- og webfiltrering, og blokkerer trusler før de når nettverket.
- Cisco Secure Endpoint – Beskytter enheter mot avanserte trusler og automatiserer respons på angrep.
- Cisco Duo – Multifaktorautentisering (MFA) for sikrere identitetskontroll og tilgangsstyring.
- Cisco XDR (Extended Detection and Response) – Samler og analyserer data på tvers av nettverk, skytjenester og enheter for raskere trusselhåndtering.
- Cisco Secure Firewall – Sikrer nettverkstrafikk med avansert brannmurbeskyttelse og dybdeinspeksjon.
- Cisco Secure Email – Stopper phishing og malware i e-postkommunikasjon.
- Cisco leverer en integrert sikkerhetsarkitektur som styrker virksomheters forsvarsevne og etterlevelse av NIS2, samtidig som den gir økt synlighet, kontroll og trusselbeskyttelse.
