Norske virksomheter må forberede seg på nye EU-direktiver

AdobeStock_196589141

Det er en voldsom økning i antallet digitale trusler, og samfunnskritiske aktører blir stadig oftere utsatt for digitale angrep. For å styrke det kollektivt digitale forsvaret vedtok EU i 2023 to nye direktiver, NIS 2 og CER, som skal øke sikkerheten for kritiske tjenester og funksjoner. Direktivene vil ifølge norske myndigheter også ha konsekvenser for virksomheter i Norge.

Hvem omfattes av direktivene, og hva må virksomhetene gjøre? Vi har tatt en prat med Eli Westad Garmann som er gruppeleder for Cyber i Advansia.

– NIS 2-direktivet (Network and Information Security) er designet for å øke motstandsdyktigheten i nettverks- og informasjonssystemer blant både private og offentlige aktører. Dette inkluderer aktører som opererer innen 18 definerte sektorer, hvor det skilles mellom essensielle og viktige samfunnstjenester, forklarer Garmann.

Mens NIS 2 fokuserer på digital sikkerhet, dekker CER-direktivet alle andre aspekter av sikkerhet. CER-direktivet (Critical Entities Resilience) sikrer leveransen av tjenester som er kritiske for samfunnsfunksjoner og økonomiske aktiviteter.

Overlapp og krav

Det er en betydelig overlapp mellom virkeområdene til NIS 2 og CER-direktivene, samt sikkerhetsloven. Virksomheter som allerede overholder sikkerhetsloven, vil sannsynligvis oppfylle kravene i de nye EU-direktivene.  

– Det er virksomhetenes eget ansvar å vurdere om de omfattes av direktivene. Dette betyr at mange, inkludert små og mellomstore bedrifter, må gjennomgå sine sikkerhetsrutiner for å sikre at de er i samsvar med de nye kravene. Direktivene har også et leverandørkjede-perspektiv, noe som innebærer at det ikke bare er eiere av kritiske samfunnsfunksjoner som treffes, men også alle leverandører og underleverandører til disse funksjonene, sier Garmann.

Listen over virksomheter som omfattes av NIS 2-direktivet skal være klar innen april 2025, med krav om implementering av tiltak tidlig i 2026. NIS 2 vil bli implementert omtrent ett år før CER-direktivet.

Ifølge Garmann er det krav om at direktivene skal implementeres i nasjonal lov innen 17. oktober 2024.

* = NIS 1; Hvit skrift = Samsvar mellom NIS 2og CER

Hva må norske virksomheter gjøre?

Etter at en virksomhet har vurdert om den omfattes av direktivene må det gjennomføre en risikovurdering. Denne risikovurderingen må gjennomføres med en “all-hazard”-tilnærming, og nødvendige tekniske, sikkerhetsmessige og organisatoriske tiltak må iverksettes. Dette er noe Advansia kan bistå med.  

– I Advansia kan vi hjelpe med vurdering av relevans for virksomheten, risikovurderinger, utforming av tiltak, beredskapsplaner, og krisehåndteringsplaner. Vi tilbyr også trening og øving for å sikre at virksomhetene er godt forberedt, sier Garmann.

Garmann viser også til at det er et strengt sanksjonsregime forbundet med direktivene.  

– Hvis man unnlater å sikre virksomheten på en tilfredsstillende måte kan man bli bøtelagt med 10 millioner euro eller 2 % av virksomhetens globale omsetning dersom man er definert som en essensiell virksomhet. Det er derfor viktig at norske virksomheter finner ut av om de er omfattet av direktivene.

Les mer om de nye EU-direktivene her>> (Åpnes i nytt vindu)

Webinar: NIS2 og CER – er din virksomhet forberedt?

Vi er her for deg!

Har du noen spørsmål om F24?
Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

Vi er her for deg!

Har du noen spørsmål om F24?
Fyll ut kontaktskjema under, så kommer vi snarlig tilbake til deg.

Vi holder deg oppdatert.

Vil du motta aktuelle pressemeldinger rett fra oss?
Meld deg på e-postlisten for nyhetsbrev fra F24.