Hvem omfattes av direktivene, og hva må virksomhetene gjøre? Vi har tatt en prat med Eli Westad Garmann som er gruppeleder for Cyber i Advansia.
– NIS 2-direktivet (Network and Information Security) er designet for å øke motstandsdyktigheten i nettverks- og informasjonssystemer blant både private og offentlige aktører. Dette inkluderer aktører som opererer innen 18 definerte sektorer, hvor det skilles mellom essensielle og viktige samfunnstjenester, forklarer Garmann.
Mens NIS 2 fokuserer på digital sikkerhet, dekker CER-direktivet alle andre aspekter av sikkerhet. CER-direktivet (Critical Entities Resilience) sikrer leveransen av tjenester som er kritiske for samfunnsfunksjoner og økonomiske aktiviteter.
Overlapp og krav
Det er en betydelig overlapp mellom virkeområdene til NIS 2 og CER-direktivene, samt sikkerhetsloven. Virksomheter som allerede overholder sikkerhetsloven, vil sannsynligvis oppfylle kravene i de nye EU-direktivene.
– Det er virksomhetenes eget ansvar å vurdere om de omfattes av direktivene. Dette betyr at mange, inkludert små og mellomstore bedrifter, må gjennomgå sine sikkerhetsrutiner for å sikre at de er i samsvar med de nye kravene. Direktivene har også et leverandørkjede-perspektiv, noe som innebærer at det ikke bare er eiere av kritiske samfunnsfunksjoner som treffes, men også alle leverandører og underleverandører til disse funksjonene, sier Garmann.
Listen over virksomheter som omfattes av NIS 2-direktivet skal være klar innen april 2025, med krav om implementering av tiltak tidlig i 2026. NIS 2 vil bli implementert omtrent ett år før CER-direktivet.
Ifølge Garmann er det krav om at direktivene skal implementeres i nasjonal lov innen 17. oktober 2024.
* = NIS 1; Hvit skrift = Samsvar mellom NIS 2og CER
Hva må norske virksomheter gjøre?
Etter at en virksomhet har vurdert om den omfattes av direktivene må det gjennomføre en risikovurdering. Denne risikovurderingen må gjennomføres med en “all-hazard”-tilnærming, og nødvendige tekniske, sikkerhetsmessige og organisatoriske tiltak må iverksettes. Dette er noe Advansia kan bistå med.
– I Advansia kan vi hjelpe med vurdering av relevans for virksomheten, risikovurderinger, utforming av tiltak, beredskapsplaner, og krisehåndteringsplaner. Vi tilbyr også trening og øving for å sikre at virksomhetene er godt forberedt, sier Garmann.
Garmann viser også til at det er et strengt sanksjonsregime forbundet med direktivene.
– Hvis man unnlater å sikre virksomheten på en tilfredsstillende måte kan man bli bøtelagt med 10 millioner euro eller 2 % av virksomhetens globale omsetning dersom man er definert som en essensiell virksomhet. Det er derfor viktig at norske virksomheter finner ut av om de er omfattet av direktivene.