Å navigere i NIS2-landskapet handler ikke bare om å etterleve nye regler hvis din virksomhet er omfattet av det. Det dreier seg om å bygge en robust sikkerhetsstruktur som beskytter mot cybertrusler og i kjølevannet sikrer virksomhetens data, omdømme og økonomiske resultater. Dette styrker tilliten blant kunder og partnere, som også er avgjørende i en økonomi drevet av data og digitale tjenester.
Målet med NIS2 er å forbedre håndteringen av cybersikkerhetsrisikoer innenfor EU og EØS-land, som Norge. Direktivet ble vedtatt i 2022 og skal implementeres i nasjonal rett av medlemsstatene innen 24. oktober 2024. Det erstatter det gjeldende NIS1-direktivet.
Berører mange
NIS2-direktivet er omfattende og berører mange ulike samfunnssektorer og virksomheter. Det eksakte antallet virksomheter som vil bli berørt av NIS2 i Norge er ikke spesifisert, men utvidelsen sammenlignet med det tidligere NIS-direktivet, antyder at antallet vil være betydelig. Spesielt fordi NIS2 inkluderer både større og mindre virksomheter som anses som essensielle for samfunnet eller økonomien.
Undervurdering av NIS2-direktivet kan ha alvorlige konsekvenser for berørte virksomheter, både juridisk, økonomisk og for omdømmet. Her følger noen av de viktigste konsekvensene ved manglende overholdelse.
Dyrt å være dårlig
Juridiske og økonomiske sanksjoner: En av de mest umiddelbare og målbare konsekvensene av å ikke overholde NIS2 er risikoen for juridiske sanksjoner. Dette kan inkludere betydelige bøter. For vesentlige virksomheter kan avgiften være på opptil 10 millioner euro eller to prosent av den globale omsetningen. For viktige virksomheter er sanksjonsavgiften på opptil syv millioner euro eller 1,4 prosent av den globale omsetningen. For offentlige virksomheter er det tilsvarende beløpet 10 millioner kroner.
Det er også viktig å huske at du ikke lenger kan delegere bort ansvaret ditt, enten du er administrerende direktør, styremedlem, økonomidirektør eller en del av ledelsen. Tidligere kunne man delegere ansvar og si «Vi har tatt hånd om det, ikke sant?» – og kanskje sett i retning av personvernombudet eller IT-sjefen.
NIS2 fastslår klart at alle må ta sitt ansvar og forstå hva de har ansvar for. Hvis du ikke tar og forstår ditt ansvar, kan det bli utstedt bøter.
Omdømmetap: Virksomheter som ikke klarer å oppfylle cybersikkerhetskravene risikerer alvorlig skade på sitt omdømme. Det kan føre til tap av kundetillit, noe som er kritisk i sektorer der tillit er en grunnleggende forutsetning for virksomheten. Omdømmetap kan ha langvarige konsekvenser og være vanskelig og kostbart å reparere.
Kan bli enda dyrere
Økt risiko for cyberangrep: Å ignorere eller undervurdere kravene i NIS2 betyr også at en virksomhet sannsynligvis vil ha svakheter i sin cybersikkerhetsstruktur. Dette gjør de til et lettere mål for cyberangrep. Konsekvensene av slike angrep kan være katastrofale, som vi har sett mange eksempler på de siste årene.
Tap av forretningsmuligheter: Virksomheter som ikke klarer å dokumentere samsvar med NIS2 kan miste forretningsmuligheter, spesielt når det gjelder kontrakter med offentlige etater eller partnerskap med andre selskaper som krever høye sikkerhetsstandarder.
Påvirkning på forsikringspremier og dekning: Virksomheter som ikke overholder NIS2 kan oppleve at deres forsikringspremier for cybersikkerhetsforsikring øker, eller at de har vanskeligheter med å få dekning i det hele tatt.
Det å undervurdere betydningen av NIS2-direktivet kan sette en virksomhets økonomiske stabilitet, omdømme og fremtidige vekstpotensial på spill. Det understreker viktigheten av proaktive tiltak for å sikre at nødvendige cybersikkerhetstiltak er implementert i tråd med direktivet når det trer i kraft.
