NIS2-direktivetDette må du vite for å sikre din virksomhet!

NIS2-direktivet er en oppdatert og utvidet versjon av det opprinnelige NIS-direktivet som ble vedtatt av EU i 2016, og må implementeres innen 24. oktober 2024. Formålet med direktivet er å styrke cybersikkerheten og beskytte kritisk infrastruktur, som er essensielt for samfunnets funksjon og økonomi. NIS2 introduserer en rekke nye krav og standarder. Dette er avgjørende for å møte dagens stadig økende cybertrusler. Les hvordan NIS2 påvirker din virksomhet og hvilke tiltak som må utføres for å ikke risikere bøter.

NIS2 utvider omfanget betydelig og dekker flere bransjer, større selskapstyper, og har spesifikke krav til lokasjon.

Direktivet utvider de berørte bransjene til å inkludere:

  • Energisektoren (som elektrisitet, olje og gass)
  • Transportsektoren (luftfart, jernbane, vann- og veitransport)
  • Bank- og finanssektoren (inkludert forsikrings- og betalingssystemer)
  • Helsevesenet (sykehus, private klinikker, laboratorier)
  • Vannforsyning og avløpsvannbehandling
  • Digital infrastruktur (internettilbydere, datalagring, skytjenester)
  • Offentlig administrasjon (sentral og regional myndighet)

Gjelder NIS2
for deg?

Direktivet pålegger ikke bare store selskaper å etterleve nye sikkerhetsstandarder, men også mange små og mellomstore bedrifter (SMB) som opererer innenfor de nevnte kritiske sektorer. Kravene gjelder spesielt for selskaper som:

  • Har mer enn 50 ansatte
  • Har en årlig omsetning eller balanse over €10 millioner
  • Er viktig for forsyningskjeder eller tjenester som anses som kritiske

Direktivet gjelder for alle selskaper som opererer innen EU, uavhengig av om de er basert i EU eller ikke. Dette betyr at også internasjonale selskaper som leverer tjenester til EU-markedet må etterleve NIS2-kravene. Hovedpunktene inkluderer:

  • Alle EU-medlemsland må implementere direktivet i sine nasjonale lover.
  • Selskaper utenfor EU som tilbyr tjenester til kunder innen EU, må oppfylle NIS2-kravene.

Hvilke nye krav og standarder må du forholde deg til?


  • Du må regelmessig gjennomføre risikovurderinger for å identifisere og analysere risikoer som kan påvirke sikkerheten til nettverks- og informasjonssystemer. Basert på risikovurderingen må du sørge for at det utvikles passende tiltak.


  • Du må implementere en policy for cybersikkerhet som dekker organisatoriske og tekniske tiltak for å beskytte dine nettverks- og informasjonssystemer. Tiltakene skal være i samsvar med nivået på risikoene identifisert gjennom risikovurderingene.


  • Du må etablere prosedyrer for å detektere, håndtere og rapportere sikkerhetshendelser. Du må ha evnen til å raskt identifisere og svare på sikkerhetshendelser, samt iverksette gjenopprettingstiltak for å redusere påvirkningen på systemer og tjenester.


  • I tillegg er utvikling og vedlikehold av planer for kontinuitet og gjenoppretting av tjenester er påkrevd. Dette innebærer å ha strategier og prosesser på plass for å sikre rask gjenoppretting av kritiske funksjoner under og etter en hendelse.


  • Du må ta hensyn til sikkerheten i forsyningskjeden. Dette innebærer å sikre at deres leverandører og partnere har tilstrekkelige sikkerhetstiltak, og at de kan håndtere cybersikkerhetsrisikoer effektivt.


  • Du skal også sørge for at ansatte som jobber med kritiske funksjoner får riktig opplæring i cybersikkerhet. Det oppfordres også til å fremme en organisasjonskultur som er bevisst på cybersikkerhet.


  • Implementering av kryptografiske metoder for å beskytte data under lagring og overføring er et krav. Organisasjonen din må sikre at det brukes passende krypteringsteknologier for å beskytte konfidensialitet, integritet og tilgjengelighet av data.


  • Du må også sørge for at sikkerhet er integrert i hele livssyklusen til systemene og applikasjonene - fra design til avvikling. Dette innebærer også å sikre at systemer regelmessig oppdateres og vedlikeholdes for å forsvare seg mot nye trusler.

  • I tillegg til NIS2-direktivet, innfører EU flere viktige reguleringer for å styrke digital sikkerhet og regulere ny teknologi. CER (Critical Entities Resilience Directive) fokuserer på å forbedre robustheten til kritiske enheter mot både fysiske og digitale trusler, mens AI Act etablerer regler for bruk og utvikling av kunstig intelligens for å sikre at AI-systemer er trygge og respektfulle overfor grunnleggende rettigheter. Disse tiltakene kompletterer NIS2 og reflekterer EUs omfattende tilnærming til å håndtere utfordringer i det digitale landskapet.

    Les mer om NIS2-direktivet her: https://www.nis-2-directive.com

    Ønsker du å vite mer?

    Ta kontakt for en uforpliktende samtale om hvordan våre tjenester og IT-løsninger optimaliserer og effektiviserer din virksomhet!

    Et skjema ble skjult fordi det krever informasjonskapsler for statistikk og markedsføring godkjennes for å lastes inn. Vennligst klikk her for å oppdatere dine preferanser for å se skjemaet.

    Webinar

    Moderne skybaserte SaaS løsninger for kritisk infrastruktur

    Se også webinaret «Moderne skybaserte SaaS-løsninger for kritisk infrastruktur» med produktdirektør i Embriq Jens Haug og Principal Security Strategist i AWS Paul Ahlgren. Her får du høre mer om hvordan nåværende og kommende krav til sikkerhet & compliance er oppfylt, inkludert NIS2-direktivet.

    Les mer

    Kontaktpersoner

    • Jens Haug

      Direktør Produkt og Plattform

      (+47) 913 61 495

      Kontakt meg

    Et skjema ble skjult fordi det krever informasjonskapsler for statistikk og markedsføring godkjennes for å lastes inn. Vennligst klikk her for å oppdatere dine preferanser for å se skjemaet.