EU har vedtatt det nye cybersikkerhetsdirektivet NIS 2, som erstatter dagens NIS-direktiv. Hensikten er å styrke det generelle sikkerhetsnivået i Europa, og gjøre virksomheter bedre rustet mot cyberangrep, driftsavbrudd og digitale trusler. Direktivet er EØS-relevant og vil også bli gjeldende i Norge.
For mange norske bedrifter reiser NIS 2 spørsmål som:
Gjelder dette oss? Hva kreves? Og hvordan dokumenterer vi at vi gjør det riktig?
Hvem omfattes av NIS 2?
NIS 2 retter seg mot virksomheter som leverer samfunnsviktige eller viktige tjenester, blant annet innen:
- Energi, transport og helse
- Finans og forsikring
- Digitale tjenester og IT-leverandører
- Produksjon, næringsmiddel og logistikk
- Offentlig sektor og enkelte private aktører
Direktivet skiller mellom vesentlige og viktige virksomheter, men felles for begge er at kravene til informasjonssikkerhet skjerpes betydelig.
Selv om en virksomhet ikke er direkte omfattet, vil NIS 2 likevel få stor betydning. Mange vil møte krav indirekte gjennom kunder, leverandøravtaler og anbud der dokumentert sikkerhetsnivå blir et konkurransefortrinn.
Hvilke krav stiller NIS 2?
NIS 2 er i stor grad risikobasert, og stiller krav til både tekniske, organisatoriske og ledelsesmessige tiltak. Blant hovedkravene finner vi:
- Etablert internkontroll for informasjonssikkerhet
- Systematisk risikovurdering og risikohåndtering
- Tiltak for å forebygge, oppdage og håndtere sikkerhetshendelser
- Hendelseshåndtering og rapportering til myndigheter
- Kontinuitets- og beredskapsplaner
- Sikkerhet i leverandørkjeden
- Opplæring og bevisstgjøring av ansatte
- Tydelig ansvar og involvering fra ledelsen
Et viktig poeng i NIS 2 er at styre og ledelse får et tydelig ansvar for informasjonssikkerheten dette er ikke lenger kun et IT-anliggende.
Er NIS 2 en sertifisering?
NIS 2 er ikke en sertifisering, og det finnes ingen offisiell “NIS 2-sertifikat”.
I stedet handler det om å kunne dokumentere etterlevelse (compliance). Det betyr at virksomheten må kunne vise:
- At kravene er forstått og vurdert
- At relevante tiltak er implementert
- At tiltakene følges opp, testes og forbedres over tid
Dokumentasjon, rutiner, logger, risikovurderinger og ledelsesforankring er sentralt. Mange virksomheter velger derfor å bruke etablerte rammeverk og standarder for å strukturere arbeidet.
Hvordan kan Astrofarm hjelpe?
Astrofarm hjelper norske virksomheter med å gjøre NIS 2 håndterbart, praktisk og tilpasset virksomhetens størrelse og risiko.
Vi har i dag et sterkt fokus på ISMS (Information Security Management System) og kan levere komplett internkontroll for informasjonssikkerhet fra kartlegging til drift.
Vår tilnærming inkluderer:
- Etablering og videreutvikling av ISMS
- Praktisk internkontroll for informasjonssikkerhet
- Risikovurderinger og gap-analyser opp mot NIS 2
- Dokumentasjon som tåler revisjon og kundeforespørsler
- Støtte til ledelse og styre i ansvar og styring
- Kontinuerlig forbedring, ikke bare “engangs-compliance”
Astrofarm benytter anerkjente og praktiske rammeverk, blant annet:
- CIS Critical Security Controls v8.1
- NSMs grunnprinsipper for IKT-sikkerhet
Disse gir et solid fundament for å møte både NIS 2 krav, kundekrav og generelle forventninger til moden informasjonssikkerhet.
NIS 2 som konkurransefortrinn
For mange virksomheter vil NIS 2 først og fremst komme til uttrykk gjennom krav fra kunder, partnere og leverandørkjeder. Å ha kontroll på informasjonssikkerhet er derfor ikke bare et regulatorisk spørsmål, men et forretningskritisk konkurransefortrinn.
Med riktig struktur, dokumentasjon og støtte kan NIS 2 bli en anledning til å:
- Redusere risiko
- Bygge tillit
- Styrke profesjonalitet og leveranseevne
