EU-Direktivet NIS2: Enkelt Forklart

NIS2 (Network and Information Systems Directive 2) er et EU-direktiv som styrker kravene til cybersikkerheten for bedrifter i Europa, inkludert Norge via EØS-avtalen. Det trer i kraft i 2025 og utvider kravene fra NIS1 for å beskytte kritisk infrastruktur mot økende cybertrusler.

Hva er NIS2?

Direktivet fastsetter regler for å sikre nettverks- og informasjonssystemer. Det omfatter implementering av sikkerhetstiltak, risikovurderinger, hendelseshåndtering og kontinuerlig overvåking. Nøkkelforskjeller fra NIS1 inkluderer bredere anvendelsesområde, strengere rapporteringsplikt (72 timer for alvorlige hendelser) og fokus på forsyningskjedesikkerhet.

Hvilke bransjer gjelder dette?

NIS2 gjelder for sektorer av høy kritikalitet som energi, transport, helse, banking, drikkevann og digital infrastruktur. Andre kritiske sektorer inkluderer post- og kurertjenester, avfallshåndtering, kjemisk produksjon, matproduksjon, produksjon (inkludert medisiner og datamaskiner), forskning og offentlig administrasjon. I Norge utvides dette til virksomheter med over 50 ansatte eller €10 millioner i omsetning, samt deres leverandører.

Hva betyr dette i praksis?

I praksis må berørte bedrifter gjennomføre risikovurderinger, implementere sikkerhetstiltak som opplæring og overvåking, rapportere hendelser raskt og sikre forsyningskjeden. Ledelsen får personlig ansvar, og brudd kan føre til bøter. Dette krever oppdaterte policyer og potensielt samarbeid med eksperter for å møte kravene.

Formål

Formålet er å øke motstandsdyktigheten mot cyberangrep som ransomware og forsyningskjede-trusler, sikre kontinuitet i essensielle tjenester og bygge tillit i det digitale markedet.

Betydning for norske bedrifter

I Norge integreres NIS2 i nasjonal lovgivning. Det påvirker et bredt spekter av virksomheter, øker sikkerhetskravene og minimerer risiko for avbrudd og bøter. Bedrifter bør vurdere sine systemer tidlig for å sikre etterlevelse.