EU har vedtatt et nytt direktiv, NIS2 (The Network and Information Security Directive 2.0), som skal heve minimumsnivået på sikkerhetsområdet i alle EUs medlemsland – både fysisk og digitalt. For hvis vi alle bare er litt bedre på sikkerhetsområdet, vil det være mye vanskeligere å svekke blant annet norsk produksjon, helsesektoren, energiforsyningen og bankvesenet. Men inntil norske myndigheter kommer med sin nasjonale implementeringsplan for hvordan norske organisasjoner skal etterleve NIS2, er vi like sårbare som før.
NIS2 er på vei, og norske organisasjoner frykter allerede at implementeringen vil ligne situasjonen fra den gang GDPR kom til Norge. Tre av fire mindre bedrifter var ikke godt nok forberedt på GDPR. Her ventet selskapene i flere måneder på å få klarhet i de norske lovkravene, noe som gjorde at selskapene enten overinvesterte i å avdekke konsekvenser eller utsatte vedtaket – og kom for sent i gang, med bøter som resultat. Nå har myndighetene sjansen til å spare organisasjoner for penger og hodebry ved å sørge for forutsigbarhet og klarhet rundt implementeringen av NIS2 i Norge.
NIS2 er viktig for norske organisasjoner. Halvparten av norske bedrifter har opplevd dataangrep, og på verdensbasis har ransomware-hendelser økt eksponentielt, med konsekvenser for blant annet OT-infrastruktur. Derfor har NIS2 også et særlig fokus på å heve IT-sikkerheten – både operativt og gjennom regelmessig vedlikehold av produksjonssystemer, samtidig som organisasjoner får mer ansvar for å beskytte seg mot cyberkriminalitet.
Effektiv implementering i stort og smått
NIS2 er etterfølgeren til NIS1 og skal sikre den norske infrastrukturen og samfunnskritiske tjenester mot havari og cybertrusler. Vi har gjennom 2022 sett mange eksempler der samfunnskritiske tjenester både rundt medier, matproduksjon og sykehus har opplevd angrep.
Dette må gjøres via et høyt, enhetlig nivå av cyber- og informasjonssikkerhet på tvers av alle EU-land. NIS2 har vært underveis i flere år, men særlig geopolitiske forhold, som krigen mellom Russland og Ukraina, har tydeliggjort behovet for en langt mer homogen sikkerhetspolitikk i EU – og en mer effektiv implementering. Det kan gis bøter på inntil 10 millioner euro for manglende overholdelse av kravene i NIS2, og både ledelse og styrer kan stilles til ansvar og i ytterste konsekvens ilegges strafferettslige reaksjoner. Hvorvidt dette også blir linjen i Norge og hvem som skal føre tilsyn, vet vi fortsatt ikke.
Målet er at alle organisasjoner som utfører viktige funksjoner i samfunnet, skal være bedre beskyttet mot sikkerhetsbrudd. Det betyr at NIS2 også vil gjelde for sektorer som matproduksjon, avfallshåndtering, hele leverandørkjeder og helsesektoren. NIS2 innebærer med andre ord et minimumsharmoniserings-perspektiv for sikkerhet, basert på en forutsetning om at kjeden ikke er sterkere enn sitt svakeste ledd.
Beskyttelse på egen risiko
Direktivet betyr at norske organisasjoner er ansvarlige for å sikre at sikkerheten i hele forsyningskjeden er NIS2-kompatibel. Dette gjelder både private og offentlige aktører. NIS2 krever systematisk due diligence, rapportering og ledelsesfokus – og vil skape behov i de aller fleste norske selskaper for å etablere helt nye avdelinger, arbeidsstrømmer og samarbeidspartnere. Men inntil den norske planen for implementering foreligger, er det usikkert hvilke krav Norge faktisk vil stille.
NIS2 er ikke slutten på sikkerhetsbevæpningen i EU. Det er allerede flere sikkerhetsdirektiver på bordet, for eksempel jobbes det aktivt med DORA-direktivet (Digital Operational Resilience Act), som fokuserer på digital motstandsdyktighet.
Økt sikkerhet på alle nivåer, og i alle næringskjeder, er kommet for å bli. Sikkerhet vil være både operasjonelt og strategisk avgjørende de kommende årene. Uavhengig av hvor man står i prosessen med å sikre seg mot cyberangrep, må man belage seg på at kravene fremover vil øke svært raskt.