For første gang oppfordres det eksplisitt til samarbeid om cybersikkerhet mellom EU-medlemmene. Innen den tid vil behovet for robuste sikkerhetsprogrammer ha kommet sterkere i fokus for ledelsen i alle berørte virksomheter, ikke minst grunnet trusselen om administrative bøter slik som for GDPR. Direktivet vil også oppmuntre medlemslandene til å forbedre sine nasjonale sikkerhetsstrategier.
Styrker samarbeid
Fremfor alt fremmer direktivet større harmonisering av sikkerhetskrav og rapporteringsplikter innenfor EU. EU-nettverket CyCLONe (European Cyber Crises Liaison Organisation Network) ble opprettet for dette formålet, og bidrar til å koordinere avsløringen av nye sårbarheter. Etableringen av EU CSIRTs Network bidrar også. Det ble etablert med NIS og er ytterligere styrket med NIS2, og skal bidra til å utvikle tillit og fremme raskt og effektivt operativt samarbeid mellom medlemslandene.
Innad i organisasjonene styrker direktivet samarbeid mellom jurister og informasjonssikkerhetsfolk. Det skjerper sikkerhetskravene til virksomhetene ved å håndheve en risikostyringstilnærming. Dette gjøres ikke minst ved å gi en minimumsliste over grunnleggende sikkerhetselementer som må brukes. Spesielt er rapporteringspliktene for sikkerhets- og personvernbrudd tydeligere regulert, i form av mer presise bestemmelser for varsling, innhold og frister. Organisasjoner vil nå måtte sende inn en første rapport til tilsynsmyndighetene innen 24 timer etter hendelsen, sørge for videre detaljer og en analyse etter 72 timer og lage en full rapport innen en måned.
Ofte fylt av samme person
NIS2 vil gjøre det nødvendig å sørge for at rollene Chief Information Security Officer (CISO) og Data Protection Officer (DPO), på norsk gjerne omtalt som henholdsvis informasjonssikkerhetsleder og leder personvern/personvernombud, ikke bekles av en og samme person.
CISO-rollen bør bli en rådgiver for ledelsen, noe som vil skape en sterkere kobling mellom forretning og IT. Dette kan også styrke organisasjonens bånd til respektive nasjonale sikkerhetsmyndigheter og sikre at eksisterende sikkerhetsstrategi og -praksis tilpasses deres krav. DPO-rollen er aktuell fordi NIS2 også vil resultere i større GDPR-overholdelse. Det er etablert over 28.000 DPO-er globalt siden GDPR trådte i kraft.
Problemet er at i for mange organisasjoner har de to rollene blitt fylt av samme person, noe som må endres for alle virksomheter som nå faller inn under NIS2. Oppgavene er for omfattende og ansvaret må deles mellom de to stillingene. Ellers forblir begge bare akronymer.