NIS2-direktivet innebærer skjerpede krav til IT-sikkerhet og risikostyring for europeiske virksomheter, også mange mindre og mellomstore bedrifter. For IT-ansvarlige og ledere handler NIS2 ikke bare om etterlevelse, men om å sikre drift, tillit og konkurransekraft. I denne guiden får du en praktisk og lettfattelig oversikt over NIS2-direktivet, hvem det gjelder, og hvordan din bedrift kan forberede seg.
Hva er NIS2-direktivet?
NIS2-direktivet er EUs oppdaterte regelverk for nettverks- og informasjonssikkerhet og danner grunnlaget for den norske digitalsikkerhetsloven. Det erstatter det tidligere NIS-direktivet og har som mål å styrke motstandskraften mot cyberangrep, datainnbrudd og alvorlige driftsavbrudd.
Kort fortalt stiller NIS2 strengere krav til:
• IT-sikkerhet og risikostyring
• Varsling og rapportering av hendelser
• Ledelsens ansvar for etterlevelse
Selv om Norge ikke er medlem av EU, vil NIS2-direktivet bli innført i norsk lov gjennom EØS-avtalen.
Hvem gjelder NIS2 for?
En sentral endring i NIS2 er at langt flere virksomheter omfattes enn tidligere. Direktivet deler virksomheter inn i essensielle og viktige enheter, basert på hvor kritiske de er for samfunnet.
Essensielle enheter
Dette er virksomheter som leverer samfunnskritiske tjenester, og som derfor omfattes av de strengeste kravene i NIS2. Eksempler på essensielle enheter er virksomheter innen:
- Energi
- Transport og logistikk
- Helse, legemidler og laboratorier
- Finans, betalingstjenester og forsikring
Viktige enheter
Viktige enheter er virksomheter som leverer sentrale digitale og teknologiske tjenester, og som også omfattes av NIS2, men med noe mindre omfattende tilsyn. Dette gjelder blant annet virksomheter innen:
- IT- og digitale tjenester
- Størrelseskriterier
For mange mindre og mellomstore virksomheter er det viktig å være klar over at direktivet kan gjelde dersom virksomheten:
- Har 50 eller flere ansatte, eller
- Har over 10 millioner euro i årlig omsetning
- Indirekte berørte virksomheter
I tillegg blir mange bedrifter indirekte berørt gjennom krav fra kunder, leverandører og større samarbeidspartnere som selv er omfattet av NIS2.
Viktige krav i NIS2-direktivet
NIS2-direktivet stiller tydeligere og mer konkrete krav enn tidligere regelverk.
Virksomheter må kunne dokumentere at de arbeider systematisk med risikostyring og IT-sikkerhet. Dette innebærer blant annet å gjennomføre jevnlige risikovurderinger av IT-miljøet, ha tydelig tilgangsstyring og kontroll på brukere, samt sikre at det finnes fungerende løsninger for sikkerhetskopiering og gjenoppretting av data.
I tillegg må virksomheten ha etablerte rutiner for håndtering av sikkerhetshendelser, slik at hendelser kan oppdages, håndteres og rapporteres på en kontrollert måte.
Krav til rapportering
Alvorlige sikkerhetshendelser må varsles raskt:
• Innen 24 timer: første varsel
• Innen 72 timer: mer detaljert rapport
Dette forutsetter klare roller, ansvar og interne prosesser.
Ledelsens ansvar
Et viktig poeng i NIS2-direktivet er at:
• Ledelsen har et direkte ansvar for IT-sikkerhet
• Virksomheter som ikke etterlever NIS2-kravene, risikerer bøter og sanksjoner. Bøtenivåene kan bli høye og fastsettes som en prosentandel av omsetningen, på linje med sanksjonsnivåene i GDPR.
• Styre og ledelse må ha grunnleggende forståelse av cybersikkerhet
Hva betyr NIS2 for mindre og mellomstore virksomheter?
For mange virksomheter innebærer NIS2 økt fokus på struktur og modenhet innen IT-sikkerhet. Selv bedrifter som ikke er direkte omfattet, vil møte strengere krav gjennom leverandørkjeder og anbudsprosesser.
I praksis kan dette bety:
• Behov for bedre dokumentasjon
• Økte forventninger fra kunder
• Større konsekvenser ved sikkerhetsbrudd
NIS2 blir dermed en ny minimumsstandard for IT-sikkerhet i næringslivet.
Hvordan kan din bedrift forberede seg på NIS2?
Forberedelser trenger ikke være kompliserte, men de bør starte tidlig. Et godt utgangspunkt er å fokusere på noen få, konkrete tiltak:
• Kartlegg om virksomheten er omfattet av NIS2
• Identifiser hvilke systemer og tjenester som er kritiske
• Sammenlign dagens praksis med NIS2-kravene
• Etabler enkle rutiner for hendelseshåndtering og rapportering
• Sørg for at ledelsen er involvert og informert
Dette gir et solid grunnlag for videre arbeid med etterlevelse.
NIS2-direktivet innebærer strengere krav til IT-sikkerhet, rapportering og ledelsesansvar. For IT-ansvarlige og ledere handler dette om mer enn regelverk, det handler om å beskytte virksomheten mot reelle trusler.