Denne artikkelen inneholder annonsert innhold.

God nettverks- og informasjonssikkerhet er viktig for alle organisasjoner, men for noen myndigheter og bedrifter handler det i tillegg om å overholde lovkrav og direktiver fra EU og andre globale og nasjonale myndigheter. I den forbindelse er et direktiv som NIS2 sentralt

NIS2-direktivet enkelt forklart

Det såkalte NIS2-direktivet er etterfølgeren til det opprinnelige NIS-direktivet, og det bygger videre på dette direktivet. Forkortelsen NIS står helt enkelt for «Network and Information Security», og direktivet har som formål å styrke cybersikkerheten til såkalte essensielle og viktige enheter, det vil si ulike typer kritisk infrastruktur og industri.  

Når man ser nærmere på NIS2, er noen eksempler på essensielle sektorer transport, energi, finans, helse, vannforsyning, digital infrastruktur, luftfart, romfart og offentlig administrasjon. Det er altså snakk om et svært omfattende rammeverk. I tillegg kommer sektorer omtalt som «viktige», herunder alt fra mat og drikke til legemidler og avfallshåndtering.

Hva betyr det helt konkret for virksomheter?

NIS2-direktivet regulerer helt konkret styring, sikkerhetstiltak, risikostyring, såkalt driftskontinuitet og i tillegg rapportering til myndigheten. Utgangspunktet er gjennomgående at en organisasjons nettverk og informasjonssystemer skal være så robust som mulig, i tillegg til at cybersikkerheten styrkes.

Krav i direktivet er knyttet til aspekter som ledelsenes ansvar, risikoanalyse og risikohåndtering, sikkerhetstiltak, kontinuitet i virksomheten og til slutt rapportering. Det betyr derfor også at hvis man gjør en god jobb med de operasjonelle aspektene, vil man også få en god del av rapporteringen «gratis».

Mer om rapportering av hendelser under NIS2

Rapportering av avvik og hendelser er en sentral del av NIS2, ikke minst for å gi relevante myndigheter oversikt over hvordan forskjellige trusler utvikles. Hendelser som har en «betydelig innvirkning på kontinuiteten i tjenestene» skal rapporteres, og det stilles krav til at slike hendelser skal rapporteres så raskt som mulig, og med et krav om at de må rapporteres senest innen 24 timer.

Noe av det som skal rapporteres er antall brukere som er rammet, årsak og varighet, hvilke geografiske områder som er rammet og hvordan hendelsen blir håndtert. I Norge vil hendelser som rapporteres via etablerte kanaler automatisk også sendes til både Nasjonalt cybersikkerhetssenter og Justis- og beredskapsdepartementet.

Helt til slutt er det viktig å tenke på at systematisk arbeid med nettverks- og informasjonssikkerhet selvfølgelig er relevant for alle selskaper uavhengig av bransje, men dessuten vil kravene i et direktiv som NIS2 får ringvirkninger blant underleverandører og partnere rundt organisasjoner som er direkte omfattet av direktivet.