NIS2-direktivet er den andre versjonen av nettverks- og informasjonssikkerhetsdirektivet (NIS) i EU (EU). Det er en utvidelse av det opprinnelige NIS-direktivet fra 2016 og skisserer dermed sikkerhetskrav som er strengere enn forgjengeren.
Unnlatelse av å overholde NIS2s krav vil resultere i straffer for bedrifter. Disse straffene kan omfatte bøter, administrative sanksjoner eller korrigerende tiltak. Det er viktig for din bedrift å overholde NIS2-sikkerhetskravene for å unngå juridiske konsekvenser og forbedre den generelle cybersikkerheten.
I denne artikkelen gir vi deg en oversikt over NIS2, inkludert nøkkelkravene du bør huske.
Oversikt over NIS2
Hovedformålet med NIS2 er å ytterligere styrke sikkerheten og robustheten til nettverks- og informasjonssystemer over hele EU. Derfor innføres strengere sikkerhetskrav for operatører av kritisk infrastruktur og digitale tjenesteleverandører. Det tar også sikte på å harmonisere rapporteringsforpliktelser og adressere sikkerhet i forsyningskjeden.
NIS2-direktivet gjelder operatører av essensielle tjenester, digitale tjenesteleverandører, leverandører av kritisk teknologi og offentlige forvaltningsenheter over hele EU. De må overholde NIS2s cybersikkerhetsforskrifter og -krav for å beskytte kritisk infrastruktur, digitale tjenester og innbyggere mot cybersikkerhetsrisiko.
Fristen for etterlevelse av NIS2-direktivet er oktober 2024. Hvis din bedrift ikke har igangsatt NIS2-samsvar ennå, bør du prioritere å implementere tiltak så snart du kan.
Nøkkelkrav
Tiltak for styring av cybersikkerhetsrisiko
Implementer og vurder regelmessig tiltak for å håndtere cybersikkerhetsrisikoer. Disse tiltakene kan omfatte, men er ikke begrenset til, risikovurderinger, sikkerhetspolicyer, effektivitetsevalueringer og hendelseshåndteringsplaner.
Rapporteringsplikter
Rapporter betydelige hendelser til relevante myndigheter innen spesifiserte tidsfrister. Med andre ord, selskaper må raskt rapportere cybersikkerhetshendelser med betydelig innvirkning på deres tjenestetilbud eller mottakere. Spesifikke varslingsfrister inkluderer en 24-timers "tidlig varsling" til Computer Security Incident Response Team (CSIRT) eller til enhver relevant myndighet.
Sikkerhet i forsyningskjeden
Sikre sikkerhet i forsyningskjeden, inkludert sikkerheten til leverandører og tjenestetilbydere. Bedrifter må vedta en omfattende risikostyringsstrategi for forsyningskjeden, som bør inkludere leverandørvurderinger. Når det gjelder leverandører, blir de nå holdt ansvarlige for deres nettsikkerhetspraksis.
Bruk av kryptografi
Bruk kryptering og kryptografiske tiltak for å beskytte data. Disse tiltakene kan øke informasjonssikkerheten ved å beskytte sensitive data gjennom sterke krypteringsteknikker.
