Digitalsikkerhetsloven og NIS2

Dette krever NIS2 av virksomheten

Når vi nå har lagt høringsfristen bak oss og det nye året er godt i gang, er det for mange på tide å forberede seg på nye krav. Virksomheter som omfattes av Digitalsikkerhetsloven og NIS2-direktivet er nødt til å sette seg godt inn i hva det betyr for virksomheten.

I første omgang er det samfunnskritiske aktører som omfattes. De nye kravene kan oppleves som krevende, særlig for virksomheter som tidligere har hatt få krav til sikkerhet i nettverk og informasjonssystemer. I tillegg ser vi at selskaper som ikke selv er omfattet direkte av regelverket også kan bli nødt til å etterleve NIS2 i sin rolle som leverandør, partner eller i annen tilknytning til en omfattet virksomhet.

Våre eksperter vil gjennom en serie av NIS2-artikler ta for seg kravene og hva de betyr for deg. I dag dykker vi ned i hvilke virksomheter som omfattes, kravene som stilles og hvordan du bør begynne å forberede deg på kravene.

Les mer om digitalsikkerhetsloven og bakgrunnen for lovforslaget.

Christina Fallang

Cyber & Security

KPMG i Norge

Disse omfattes av NIS2

Sektorer av høy kritikalitet:

Energi
Helse
Transport
Finans markedsinfrastrukturer
Bank
Drikkevann og avløpsvann
IKT tjenesteleverandører
Digital infrastruktur
Offentlig forvaltning
Digital infrastruktur
Romvirksomhet

Andre kritiske sektorer:

Post- og kurertjenester
Avfallshåndtering
Digitale tilbydere av markedsplasser og digitale tjenester
Produksjon og distribusjon av kjemikalier
Matproduksjon, prosessering og distribusjon
Produksjon av elektronikk, medisinsk utstyr, mm.
Forskning

Disse kravene stiller Digitalsikkerhetsloven og NIS2 til samfunnskritiske virksomheter

Styringssystem for sikkerhet: Etablere og vedlikeholde et styringssystem for sikkerhet som omfatter digital sikkerhet.
Ledelsens ansvar: Ledelsen skal godkjenne sikkerhetsstyringssystemet og gå gjennom det det minst årlig, og ledelsen har ansvar for at virksomheten opprettholder et forsvarlig sikkerhetsnivå.
Risikovurdering og risikohåndtering: Det skal gjøres risikovurderinger og det skal etableres en plan for å håndtere de risikoene.
Organisatoriske sikkerhetstiltak: Inkludert relevante rutiner og prosedyrer innenfor sikkerhet.
Teknologiske tiltak: Slik som tilgangskontroll og segmentering.
Fysiske sikkerhetstiltak: For å sikre blant annet lokasjoner og fysisk infrastruktur.
Sikkerhetstiltak for personell: Skal både sørge for økt kompetanse men inkluderer også personellsikkerhetstiltak som bakgrunnssjekker dersom der er nødvendig.
Hendelseshåndtering og beredskap: Beredskapsplan for håndtering av hendelser og gjennomføre øvelser for å teste planverket blant annet.
Leverandørkjedesikkerhet: Krav om å påse at leverandører og andre tredjeparter opererer på en slik måte at det ikke går på bekostning av virksomheten og dens arbeid med å overholde et forsvarlig sikkerhetsnivå.

Obligatorisk opplæring: Ledelsen skal gjennomføre obligatorisk opplæring innen informasjonssikkerhet, og kravet om å godkjenne og holdes ansvarlig for tiltak er også tydeligere definert.
Test av effektivitet: Effektiviteten av sikkerhetstiltakene som iverksettes etter kravene i lovverket testes – fremmer kontinuerlig forbedring og krever en god del arbeid fra virksomheten
Forretningskontinuitet: I tillegg til hendelseshåndtering og beredskap stiller NIS2 krav til forretningskontinuitet som minner oss på formålet med direktivet: å sikre leveransen av samfunnskritiske tjenester.

Slik forbereder du deg på Digitalsikkerhetsloven og NIS2-direktivet

Mange virksomheter vil bli truffet av Digitalsikkerhetsloven og NIS2-direktivet, og det er anbefalt å forberede seg tidlig. Er du usikker på hva det betyr for deg, er det lurt å gjennomføre en kartlegging i virksomheten. Da trenger du å:

vurdere om virksomheten er innenfor virkeområdet til digitalsikkerhetsloven
gjennomføre verdivurderinger og gap-analyser for å avdekke hva som skal til for å heve sikkerhetsnivået og motstandsdyktigheten til virksomheten
identifisere og operasjonaliser relevante sikkerhetstiltak, ta en risikobasert tilnærmingen og benytte relevante standarder, slik som ISO/IEC 27000-serien