Digitalsikkerhetsloven og NIS2

– På tide å forberede seg på de nye kravene

Dette krever NIS2 av virksomheten

Når vi nå har lagt høringsfristen bak oss og det nye året er godt i gang, er det for mange på tide å forberede seg på nye krav. Virksomheter som omfattes av Digitalsikkerhetsloven og NIS2-direktivet er nødt til å sette seg godt inn i hva det betyr for virksomheten.

I første omgang er det samfunnskritiske aktører som omfattes. De nye kravene kan oppleves som krevende, særlig for virksomheter som tidligere har hatt få krav til sikkerhet i nettverk og informasjonssystemer. I tillegg ser vi at selskaper som ikke selv er omfattet direkte av regelverket også kan bli nødt til å etterleve NIS2 i sin rolle som leverandør, partner eller i annen tilknytning til en omfattet virksomhet.

Våre eksperter vil gjennom en serie av NIS2-artikler ta for seg kravene og hva de betyr for deg. I dag dykker vi ned i hvilke virksomheter som omfattes, kravene som stilles og hvordan du bør begynne å forberede deg på kravene.

Les mer om digitalsikkerhetsloven og bakgrunnen for lovforslaget.

Christina Thømt Fallang
Christina Fallang

Cyber & Security

KPMG i Norge

Disse omfattes av NIS2

Sektorer av høy kritikalitet:

  • Energi
  • Helse
  • Transport
  • Finans markedsinfrastrukturer
  • Bank
  • Drikkevann og avløpsvann
  • IKT tjenesteleverandører
  • Digital infrastruktur  
  • Offentlig forvaltning
  • Digital infrastruktur
  • Romvirksomhet

Andre kritiske sektorer:

  • Post- og kurertjenester
  • Avfallshåndtering
  • Digitale tilbydere av markedsplasser og digitale tjenester
  • Produksjon og distribusjon av kjemikalier
  • Matproduksjon, prosessering og distribusjon
  • Produksjon av elektronikk, medisinsk utstyr, mm.
  • Forskning 

  • Flere enn 50 ansatte, 
  • og som enten har en årlig omsetning på over 10 millioner Euro, eller en balanse på mer enn 10 millioner Euro

Det kan være forskjeller i hvilke virksomheter som omfattes i ulike EU-lands gjennomføring av regelverket.

Disse kravene stiller Digitalsikkerhetsloven og NIS2 til samfunnskritiske virksomheter

  • Styringssystem for sikkerhet: Etablere og vedlikeholde et styringssystem for sikkerhet som omfatter digital sikkerhet.
  • Ledelsens ansvar: Ledelsen skal godkjenne sikkerhetsstyringssystemet og gå gjennom det det minst årlig, og ledelsen har ansvar for at virksomheten opprettholder et forsvarlig sikkerhetsnivå.
  • Risikovurdering og risikohåndtering: Det skal gjøres risikovurderinger og det skal etableres en plan for å håndtere de risikoene.
  • Organisatoriske sikkerhetstiltak: Inkludert relevante rutiner og prosedyrer innenfor sikkerhet.
  • Teknologiske tiltak: Slik som tilgangskontroll og segmentering.
  • Fysiske sikkerhetstiltak: For å sikre blant annet lokasjoner og fysisk infrastruktur.
  • Sikkerhetstiltak for personell: Skal både sørge for økt kompetanse men inkluderer også personellsikkerhetstiltak som bakgrunnssjekker dersom der er nødvendig.
  • Hendelseshåndtering og beredskap: Beredskapsplan for håndtering av hendelser og gjennomføre øvelser for å teste planverket blant annet.
  • Leverandørkjedesikkerhet: Krav om å påse at leverandører og andre tredjeparter opererer på en slik måte at det ikke går på bekostning av virksomheten og dens arbeid med å overholde et forsvarlig sikkerhetsnivå. 

  • Obligatorisk opplæring: Ledelsen skal gjennomføre obligatorisk opplæring innen informasjonssikkerhet, og kravet om å godkjenne og holdes ansvarlig for tiltak er også tydeligere definert.
  • Test av effektivitet: Effektiviteten av sikkerhetstiltakene som iverksettes etter kravene i lovverket testes – fremmer kontinuerlig forbedring og krever en god del arbeid fra virksomheten
  • Forretningskontinuitet: I tillegg til hendelseshåndtering og beredskap stiller NIS2 krav til forretningskontinuitet som minner oss på formålet med direktivet: å sikre leveransen av samfunnskritiske tjenester.  

Slik forbereder du deg på Digitalsikkerhetsloven og NIS2-direktivet

Mange virksomheter vil bli truffet av Digitalsikkerhetsloven og NIS2-direktivet, og det er anbefalt å forberede seg tidlig. Er du usikker på hva det betyr for deg, er det lurt å gjennomføre en kartlegging i virksomheten. Da trenger du å:

  • vurdere om virksomheten er innenfor virkeområdet til digitalsikkerhetsloven
  • gjennomføre verdivurderinger og gap-analyser for å avdekke hva som skal til for å heve sikkerhetsnivået og motstandsdyktigheten til virksomheten
  • identifisere og operasjonaliser relevante sikkerhetstiltak, ta en risikobasert tilnærmingen og benytte relevante standarder, slik som ISO/IEC 27000-serien

Ta kontakt

John Hornslien
John Hornslien

Head of Cyber Regulatory | Advokat

KPMG Law Advokatfirma AS

Christina Thømt Fallang
Christina Fallang

Cyber & Security

KPMG i Norge

Simen Taranger
Simen Taranger

Sikkerhetsrådgiver

KPMG i Norge

Meld deg på våre cybersikkerhetskurs!

Kurs i cybersikkerhet

Vi  holder flere internasjonalt anerkjente kurs i cybersikkerhet, blant annet i NIS2-direktivet, kunstig intelligens og  informasjonssikkerhet.

Se alle kursene
Future woman with cyber technology eye panel concept

Relevante tjenester

Gransking og evalueringer

Integritet og etterlevelse av regelverk er avgjørende for tillit.
Gå til gransking og evalueringer
Businesspeople with document planning strategy in office meeting

Risikotjenester

Sørg for trygg vekst og langsiktig suksess med proaktiv risikostyring
Gå til risikotjenester
Personer jobbar på konto

Sikkerhet og beredskap

Få hjelp til å beskytte det som er viktig for din virksomhet
Gå til sikkerhet og beredskap
person koder på jobb

Gransking, compliance og økonomisk kriminalitet

Få relevant innsikt i nyheter, trender og beste praksis innen gransking, compliance og bekjempelse av økonomisk kriminalitet. 

Meld meg på nyhetsbrev