NIS2 erstatter det tidligere NIS-direktivet. NIS2 medfører en utvidelse av blant annet virkeområdet gjennom underleggelse av virksomheter i flere sektorer. Direktivet vil gjennom EØS-avtalen også omfatte norske bedrifter, som må tilpasse seg til og overholde de nye endringene innen 17. oktober 2024. Men hva innebærer dette? Hvordan påvirker NIS2 ulike selskaper, og hva må man gjøre for å bli compliant? Stefanie Hach, Head of Sales and Marketing, F24 Luxembourg, har sett nærmere på hva det nye NIS2-direktivet innebærer:

Hva er NIS2?
NIS eller direktivet om tiltak for et høyt felles sikkerhetsnivå i nettverk og informasjonssystemer i hele EU (vedtatt 6. juli 2016) ble utformet for å beskytte kritisk infrastruktur og organisasjoner mot alle typer cybertrusler i Europa. Svært ofte retter cyberkriminelle seg mot kritiske infrastrukturer og organisasjoner som er samfunnskritiske aktører. NIS2 er en del av en tiltakspakke som skal forbedre motstandsdyktigheten til både den digitale og fysiske infrastrukturen i offentlig og privat sektor, myndigheter og EU (og EØS) som helhet. NIS2 medfører en utvidelse av virkeområdet til å omfatte virksomheter i flere sektorer.

- NIS2-direktivet krever at organisasjoner og kritisk infrastruktur overholder strenge sikkerhets-, varslings- og rapporteringsplikter og de gjelder nå for et bredere spekter av organisasjoner sammenlignet med det forrige direktivet, forteller Stefanie Hach.

Noen av de viktigste endringene:

• krav om en risikostyringsmetode som skal gi en minimumsliste over grunnleggende sikkerhetselementer som må legges til grunn for sikkerhetsarbeidet
• krav om å håndtere cybersikkerhetsrisiko i forsyningskjeder og hos leverandører, planer for vedlikehold, overvåkning og testing samt bruk av krypto
• mer presise bestemmelser om prosessen for varsling av hendelser, hva det skal varsles om og når
• innlemmer flere sektorer som anses som kritisk for både økonomien og samfunnet
• koordinert offentliggjøring av nylig oppdagede sårbarheter i hele EU. Et register for skal opprettes

Hvorfor er NIS2 viktig?
NIS2 utvider omfanget av cybersikkerhet og beredskap for krisehåndtering. NIS2 ble konseptualisert i kjølvannet av pandemiårene da cybertruslene ble mer utbredt. Både antallet angrep og arten av cybertrusler og -angrep har endret seg, og påvirker et bredere spekter av bransjer og enheter.

Vernetiltakene må følgelig bli mer altomfattende for å skjerme så mange kritiske instanser som mulig. Derfor har det nye direktivet kommet med en mer omfattende policy for å styrke cybersikkerheten og motstandskraften til viktige tjenesteleverandører i Europa.

- NIS2 er et dagsaktuelt tema ikke bare for IT- og informasjonssikkerhets-ansvarlige, men også daglig leder og styremedlemmer. Styremedlemmer kan bli holdt personlig ansvarlig for implementering av direktivet i deres organisasjoner. Å bli straffet for ikke å følge regelverket er et nytt ansvarsnivå, sier Hach.

«Vesentlig» og «viktig»
Endringene av NIS2 styrker også beredskapsfaktoren. Det nye direktivet skiller ikke mellom operatører av essensielle tjenester og digitale tjenesteleverandører, i stedet skiller det mellom «vesentlige» og «viktige» enheter, basert på deres størrelse, innvirkning og sektor.

- Som sådan er følgende krav måtene NIS2 vil hjelpe kritisk infrastruktur til essensielle tjenester til å være forberedt på å møte og kunne håndtere cybertrusler, sier Hach:

• Utvikling og vedlikehold av et europeisk sårbarhetsregister: Sårbarhetsregisteret vil registrere og vedlikeholde nyoppdagede cybersårbarheter i hele Europa. En studie for «Coordinated Vulnerability Disclosure (CVD) and Vulnerability databases» ble bestilt og avsluttet i 2021.
• CyCLONe eller Cyber Crisis Liaison Organization Network: Dette er et samarbeidsnettverk for europeiske medlemsland som har ansvaret for håndtering av cyberkriser. Dette nettverket skal sammen med en samarbeidsgruppe legge til rette for et sterkt samarbeid for informasjonsutveksling og situasjonsforståelse. Det vil også gi koblinger mellom det tekniske nivået (EU CSIRT Network) og EUs politiske nettverk.
• Årlig rapport om cybersikkerhetstilstanden i EU: Den årlige cybersikkerhetsrapporten vil hjelpe medlemslandene med å holde seg oppdatert om deres årlige cybersikkerhetsytelse, forbedringsområder og cybertrusselssituasjon.
• Dokumentere alle digitale tjenesteleverandører på tvers av landegrensene: Opprette og vedlikeholde en rapport over alle enhetene som tilbyr tjenester på tvers av landegrensene, som skylagring av data, datasentertjenester, DNS-tjenester, TLD-navneregistre, domenenavnregistreringer og mer.
• Etablere fagfellevurderinger for medlemsland for å hjelpe alle medlemmer med å holde sine cyberstrategier oppdatert.
• Sette opp Computer Security Incident Response Team (CSIRT) og et kompetansenettverk for samarbeid mellom alle medlemslandene.

- Det er fortsatt litt tid til den 17. oktober 2024, som er deadline for når NIS2 skal være implementert. Bruk den tiden til å sette deg inn i de nye kravene i cybersikkerhetsregelverket. Hvis du representerer en viktig tjenesteleverandør eller en virksomhet, krever denne policyen at du implementerer de nye retningslinjene for risikoanalyse og informasjonssikkerhet, forretningskontinuitet, forsyningskjedesikkerhet, hendelseshåndtering, utviklingspraksis for informasjonssystemer, inkludert avsløring av sårbarheter, kryptografi, kryptering, og multifaktorautentisering, sier Hach.

- I tillegg kan du også bli pålagt å forholde deg og bruke spesifikke IKT-produkter, tjenester og prosesser som er godkjent av Cybersecurity ACT under ENISA. Hvis du ikke har tilgang på intern ekspertise på cybersikkerhet, er det viktig å finne partnere som kan hjelpe deg med å implementere kravene; rådgivende partnere, juridiske partnere, men også løsningspartnere, sier hun.

Hva er innvirkningen for en virksomhet?
NIS2 omfatter ikke bare forberedelsesfasen, men også kriseresponsfasen. Det er avgjørende at «vesentlige» og «viktige» samfunnskritiske tjenester følger forpliktelsene om hendelsesrapportering når de utsettes for en trussel eller et angrep.

- Hvis de rapporterer hendelser mer presist og i tide, er det også mer sannsynlig at de bidrar til felles kunnskap. Hendelsesrapporteringsprosessen inkluderer å gi et tidlig varsel (early warning) innen de første 24 timene etter man har blitt oppmerksom på hendelsen eller muligheten for den. Deretter følger et krav om en mer utfyllende varsling innen 72 timer fra man ble kjent med hendelsen, med en innledende vurdering av hendelsens alvorlighetsgrad, virkning og omfang. Det kreves også en sluttrapport innen en måned etter hendelsesvarslingen som beskriver hendelsen i detalj sammen med en årsaksanalyse, forklarer Hach.

Hvordan kan selskaper bli NIS2-complient innen 2024?
Stedlige inspeksjoner, sikkerhetsrevisjoner, skanninger, tilgang til cybersikkerhetstiltakene som vedtas av selskapene/enhetene og bevis på at nødvendige cybersikkerhetstiltak er iverksatt av selskaper/enheter er noe av det selskapene kan forvente mer av som en del av NIS2.

- Bedrifter bør allerede nå sørge for å tilpasse seg de nye kravene, slik at de kan bli NIS2-complient innen 17. oktober 2024, sier Hach.

NIS2-direktivet kommer også med mulighet for svært strenge for manglende overholdelse av retningslinjene, med bøter på opptil 10 millioner Euro, eller 2 % av den globale omsetningen, avhengig av hva som er høyest, for de som faller i kategorien «vesentlige» samfunnskritiske tjenester. For «viktige» samfunnskritiske tjenester med bøter på opptil 7 millioner Euro eller 1,4 % av global omsetning, avhengig av hva som er høyest.

Hach fremhever disse fem punktene som kan hjelpe deg å bli complient innen fristen:

1. Identifiser partnere som kan hjelpe deg

2. Gjennomfør en gap-analyse sammen med eksperter på området

3. Skap bevissthet på styrenivå og lag en plan for å lukke avvik i forhold til kravene

4. Tildel konkrete budsjetter og om mulig et eget prosjektteam

5. Implementer tiltak, strategier og rutiner allerede nå, i god tid før fristen i 2024