Til forsiden
IT-sikkerhet 17-09-2024

NIS2: Nytt cybersikkerhetsdirektiv fra EU

NIS2 representerer et betydelig skritt fremover for å styrke cybersikkerheten på tvers av EU. Det krever at virksomheter og myndigheter samarbeider mer effektivt for å beskytte kritisk infrastruktur og digitale tjenester mot stadig mer komplekse trusler.

Carl Christian Stikbakke
Carl Christian Stikbakke
Strategisk rådgiver

NIS2-direktivet, er en oppdatering av det opprinnelige NIS-direktivet (Network and Information Security Directive) fra 2016, som ble vedtatt av EU i november 2022. Direktivet trådte i kraft 18. oktober 2024 i EU, og skal inn i norsk lovverk etter hvert. Målet med direktivet er å styrke cybersikkerheten i medlemslandene.

Hva betyr NIS2?

  1. Flere sektorer: NIS2 dekker flere sektorer enn det opprinnelige direktivet. Det inkluderer nå sektorer som energi, transport, helsevesen, digital infrastruktur, offentlig administrasjon, samt visse tjenester innen IKT og forsyningskjeder. Dette betyr at flere typer virksomheter nå må følge kravene.
  2. Strengere sikkerhetskrav: NIS2 innfører detaljerte krav til cybersikkerhetstiltak. Dette omfatter blant annet risikostyring, sikkerhetsarkitektur, og beredskapstiltak. Virksomheter må implementere tekniske og organisatoriske tiltak for å håndtere risikoer og minimere innvirkningen av sikkerhetshendelser.
  3. Rapporteringsplikt: Virksomheter som omfattes av NIS2 må rapportere cybersikkerhetshendelser innen 24 timer etter at hendelsen er oppdaget. Rapporteringen skal omfatte en innledende vurdering av omfanget og virkningen av hendelsen, og ytterligere rapporter kan kreves etter mer detaljert analyse.
  4. Tilsyn og sanksjoner: Direktivet gir nasjonale myndigheter økt tilsynsmyndighet og mulighet til å ilegge strengere sanksjoner ved manglende etterlevelse. Sanksjonene kan inkludere betydelige bøter, og det er forventet at håndhevingen av reglene vil være mer konsekvent på tvers av medlemslandene.
  5. Tverrsektoriell samarbeid: NIS 2 oppfordrer til økt samarbeid mellom offentlige og private aktører, samt mellom EU-medlemslandene. Dette inkluderer informasjonsdeling, felles respons på cybersikkerhetstrusler, og utvikling av felles standarder og beste praksis.
  6. Forsyningskjede sikkerhet: Direktivet legger stor vekt på sikkerhet i forsyningskjeden. Virksomheter må vurdere sikkerheten til sine leverandører og partnere, og ta hensyn til risikoer som oppstår gjennom eksterne avhengigheter.
  7. Krav til styringsstrukturer: NIS2 krever at styrende organer i selskaper har tilstrekkelig kompetanse på cybersikkerhet, og at de tar aktiv del i beslutninger om virksomhetens sikkerhetsstrategi.
Sikre din virksomhet mot cybertrusler med Custos

Med de nye kravene i NIS2-lovverket, må flere virksomheter enn før kunne dokumentere at de har robuste sikkerhetstiltak på plass. Atea Custos er en tjeneste som ivaretar virksomheters behov for å identifisere, bearbeide og forbedre sikkerhetsnivået, og åndigheter, samarbeidspartnere, kunder og leverandører.

Lær mer om Atea Custos her

Cato Evensen
Ønsker du hjelp til å komme i gang?
Cato Evensen, Strategisk rådgiver IT-sikkerhet
Send e-post til
Om sektorer påvirket av NIS2

De vesentlige tjenestene fremgår av direktivets vedlegg 1. Denne gruppen omfatter utvalgte offentlige eller private tilbydere av samfunnsviktige tjenester som opererer i sektorene:

  1. Energi
  2. Transport
  3. Bank
  4. Finansmarkedsinfrastrukturer
  5. Helse
  6. Drikkevann
  7. Avløpsvann
  8. Digital infrastruktur
  9. IKT-tjenester
  10. Offentlig forvaltning (sentral og regional)
  11. Romvirksomhet

Den viktige gruppen omfatter tilbydere som opererer i sektorene som er oppført i vedlegg 2, som er:

  1. Post - og kurertjenester
  2. Avfallshåndtering
  3. Produksjon og distribusjon av kjemikalier
  4. Matproduksjon
  5. Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)
  6. Tilbydere av digitale tjenester
  7. Forskning
Les mer
IT-sikkerhet Nå kan du oppleve et cyberangrep uten risiko