Ofte stilte spørsmål om NIS2

Hva er NIS2?

NIS2-direktivet er EUs nye cybersikkerhetsdirektiv som stiller strengere krav til IT-sikkerhet, risikostyring og rapportering av hendelser.

Direktivet erstatter det tidligere NIS-direktivet og gjelder for langt flere virksomheter enn før.

 

Målet er å styrke Europas samlede cybersikkerhet og beskytte kritisk infrastruktur og viktige virksomheter.

Når trer NIS2 i kraft i Norge?

NIS2 er vedtatt i EU og skal implementeres i norsk lov gjennom EØS-avtalen. Norske virksomheter må forvente at kravene blir gjeldende i løpet av 2025–2026.

 

Det anbefales å starte forberedelsene allerede nå.

Hvem omfattes av NIS2?

NIS2 gjelder både:

  • Kritiske sektorer (energi, transport, helse, vann, finans, offentlig sektor m.m.)

  • Viktige virksomheter innen IT, digitale tjenester, datasentre, skytjenester m.m.

  • Mellomstore og større virksomheter (over 50 ansatte eller 10M EUR i omsetning/balanse)

 

Mange leverandører til offentlig sektor vil også indirekte bli påvirket.

Hva er de viktigste kravene i NIS2?

Virksomheter må blant annet:

  • Gjennomføre risikovurderinger

  • Implementere tekniske og organisatoriske sikkerhetstiltak

  • Ha hendelseshåndtering og beredskapsplan

  • Rapportere alvorlige sikkerhetshendelser innen 24 timer

  • Dokumentere styring og ledelsesforankring

 

Styret og ledelsen kan holdes personlig ansvarlig ved grov forsømmelse.

Hva er forskjellen mellom NIS2 og GDPR?

General Data Protection Regulation (GDPR) handler om personvern og behandling av personopplysninger.

NIS2 handler om cybersikkerhet og beskyttelse av virksomhetens digitale infrastruktur.

Mange tiltak overlapper, men NIS2 har sterkere fokus på:

 

  • Driftssikkerhet

  • Leverandørkjede

  • Ledelsesansvar

  • Beredskap og rapportering

Hvilke konsekvenser kan manglende etterlevelse få?

 

  • Betydelige bøter

  • Pålegg fra tilsynsmyndigheter

  • Personlig ansvar for ledelsen

  • Omdømmetap

  • Tap av kontrakter (særlig offentlig sektor)

Hva bør vi gjøre nå?

En anbefalt start:

  1. Kartlegg om virksomheten omfattes

  2. Gjennomfør en GAP-analyse

  3. Dokumenter risikovurdering

  4. Etabler sikkerhetspolicyer

  5. Test beredskap og hendelseshåndtering

  6. Sørg for styrebehandling og forankring