NIS2 er et EU-direktiv (2022/2555) som tar sikte på å øke sikkerheten i nettverk og informasjonssystemer for samfunnsviktige tjenester. NIS2 erstatter det tidligere EU-direktivet 2016/1148 (NIS) og har som mål å skape et mer harmonisert regelverk i hele EU for informasjonssikkerhet for samfunnsviktige tjenester.
Hovedmålet med NIS2 er å sikre samfunnets evne til å levere samfunnsviktige tjenester, uavhengig av om disse leveres av private eller offentlige virksomheter.
Hjørnesteinen i NIS2 er fortsatt en systematisk tilnærming til informasjonssikkerhet som er risikobasert, normalt oppnådd gjennom etablering av styringssystemer for informasjonssikkerhet (LIS). Medlemsstatene vil også få et større ansvar for å støtte virksomhetene som omfattes av NIS2, både gjennom informasjon, men også for eksempel ved å overvåke sårbarheter.
Et EU-direktiv fastsetter det forventede resultatet som skal oppnås av medlemsstatene, og det er opp til hver enkelt medlemsstat å bestemme form og metode for gjennomføringen.
Hver medlemsstat er ansvarlig for å oppdatere sin lokale lovgivning for å inkludere kravene i NIS2-direktivet, noe som betyr at det kan forekomme lokale variasjoner eller utvidelser av EU-direktivet når det gjelder NIS2.
Direktivet er imidlertid opprettet for å motvirke den store variasjonen som har eksistert i NIS-lovgivningen i de ulike medlemsstatene og fastsetter at hvert medlemsland skal føre et register over organisasjoner som omfattes av NIS2, der både administrativ og teknisk informasjon skal samles inn, inkludert kontaktopplysninger og IP-adresser. For betydelige enheter er maksimumsstraffen 10 millioner euro eller 2 % av den globale omsetningen. For betydelige enheter er maksimumsstraffen 7 millioner euro eller 1,4 % av den globale omsetningen.
Hvert medlemsland skal også ha en forbedret kapasitet til å håndtere nettverks- og informasjonssystemhendelser gjennom opprettelsen av Computer Security Incident Response Teams (CSRIT), som skal samarbeide med andre CSIRT-er i EU. Sammenlignet med tidligere direktiver skal CSIRT-ene arbeide mer proaktivt og støttende.
NIS2-direktivet skal etter planen tre i kraft 18. oktober 2024, noe som i praksis betyr at mye av arbeidet med å tilpasse informasjons- og cybersikkerhetsrutiner må starte i god tid før denne datoen.
NIS2 er tydeligere enn NIS når det gjelder hvilke enheter som er omfattet, og antallet sektorer som dekkes, er utvidet sammenlignet med NIS. I de sektorene som anses som samfunnskritiske, og som overskrider nivåene for mellomstore foretak i henhold til artikkel 2(1) i 2003/361, noe som betyr mer enn 50 ansatte og/eller en omsetning på over 10 millioner euro per år. Ved vurdering av størrelse er det som hovedregel størrelsen på hele konsernet som vurderes. 16 i NIS2-direktivet åpner for unntak i tilfeller der det kan påvises at det aktuelle selskapet er tilstrekkelig atskilt fra resten av konsernet når det gjelder nettverk og informasjonssystemer.
Cegals informasjons- og cybersikkerhetskonsulenter har erfaring med å etablere styringssystemer for informasjonssikkerhet i samsvar med både NIS og andre regulatoriske rammeverk.
I tillegg kan Cegals eksperter på cybersikkerhet veilede og navigere deg gjennom dette komplekse tekniske området. Vi kan hjelpe deg med å ligge i forkant når det gjelder å sikre IT-infrastrukturen din med inngående kunnskap om operasjonell teknologi (OT), skyinfrastruktur og -plattformer, hybride løsninger og multi-sky -infrastruktur. Våre dedikerte leveranseområder tilbyr et bredt spekter av sikkerhetsløsninger for å beskytte og overvåke kritiske funksjoner og sikre kontinuitet i virksomheten.
Les hva våre eksperter på cybersikkerhet kan hjelpe deg med >
Les artikkelen: NIS2 - Er du klar til å overleve en krise?