2 min read

Ny lov om digital sikkerhet: Her er det du trenger å vite

Ny lov om digital sikkerhet: Her er det du trenger å vite

Hva innebærer den nye digitalsikkerhetsloven, som trer i kraft om kort tid? Vi ser nærmere på de sentrale kravene. Uansett om din virksomhet er omfattet av lovverket eller ikke i denne omgang, vil det nye lovverket bidra til en skjerpet og mer koordinert kamp mot cybertrusler.

Snart vil den nye digitalsikkerhetsloven tre i kraft,. Lovendringen inkluderer EU sitt NIS-direktiv, og det forventes at loven vil implementeres i løpet av året. Og allerede neste år vil loven oppdateres for å ta hensyn til NIS2-direktivet, som er mye mer omfattende enn NIS, vil gjelde for langt flere virksomheter og stiller tydeligere krav til de berørte virksomhetene. La oss utforske de sentrale kravene i direktivet.

Styrking av cybersikkerheten i EU-området

EU jobber som kjent for å legge til rette for et effektivt indre marked, og i den forbindelse har EU laget en rekke direktiver som blant annet skal redusere «friksjonen» mellom medlemslandene. Et av disse direktivene er NIS, som står for Network and Information Security. Formålet med direktivet er å styrke cybersikkerheten i IT-systemer hos virksomheter som leverer tjenester i EU-området. Det skal med andre ord bli enklere å velge leverandører og underleverandører i EU-området, siden alle leverandørene er underlagt de samme sikkerhetskravene.

Kritiske og viktige sektorer

Forsiktige anslag tyder på at rundt 100.000 virksomheter vil være omfattet av NIS2. Det er med andre ord ikke alle virksomheter. Et vesentlig kriterium er hvorvidt virksomheten opererer i en sektor som defineres som kritisk eller viktig. Eksempler på kritiske sektorer er energi, transport, helse, drikkevann, digital infrastruktur, IKT-tjenester og offentlig forvaltning. Eksempler på viktige tjenester er matproduksjon, posttjenester og tilbydere av digitale tjenester. Vi anbefaler at dere sjekker hvorvidt deres virksomhet vil være omfattet av NIS2 allerede nå.

NIS2 virksomehter

 

Ledelsesforankring

NIS2 er tydelig på at ledelsen skal være engasjert i cybersikkerhetsarbeidet. Ledelsen skal blant annet delta på opplæringstiltak, de skal godkjenne risikohåndteringsplanen, og de skal sikre at sikkerhetstiltakene blir gjennomført. Dette er gode nyheter, og vil forhåpentligvis bidra til enda bedre risikostyring i deres virksomhet.

NIS2 - forankring

 

Sterkere sikkerhetskrav

Sentralt i NIS2 er en liste med sikkerhetstiltak som skal baseres på en «all hazards approach». Her finner vi følgende tiltak:

  • Policyer for risikoanalyse og informasjonssikkerhet
  • Hendelseshåndtering
  • Forretningskontinuitet og beredskap
  • Leverandørkjedesikkerhet
  • Sikkerhet ved anskaffelse, utvikling og vedlikehold av nettverk og informasjonssystemer
  • Policyer og prosedyrer for å evaluere hvor effektive sikkerhetstiltakene er
  • Opplæring og basishygiene for cybersikkerhet
  • Policyer og prosedyrer for bruk av kryptografi
  • Personellsikkerhet, policyer for tilgangskontroll og håndtering av verdier
  • Bruk av multifaktorautentisering eller andre autentiseringsløsninger

Dette er som vi ser kjente tiltak som vi finner igjen i ISO 27001. Det står faktisk i et fortalepunkt til NIS2 at et ISO 27001-basert styringssystem for informasjonssikkerhet er en måte å sikre implementasjon av disse tiltakene på. Sammenstiller vi NIS2 og ISO 27001, så ser vi at ISO 27001 er et utmerket rammeverk for å sikre samsvar med NIS2. Virksomheter som har et velfungerende styringssystem for informasjonssikkerhet ligger med andre ord godt an! Noen tilpasninger må imidlertid gjøres, blant annet når det gjelder rapporteringskravene. Her er det en del nytt.

Move hjelper deg

Move Cyber Security har egne samsvarsspesialister som hjelper virksomheter med å få oversikt over hva som må gjøres, bistå med å tette hullene i styringssystemet, og sikre etterlevelse. Vi bruker også samsvarsløsninger som Microsoft Purview for å styre det operative samsvarsarbeidet. Ta gjerne kontakt med oss for en diskusjon om hvordan det står til i deres virksomhet, og hva vi i Move kan bistå med.

 

Move AS er sertifisert som Norges eneste Fortinet Engage Preferred Services Partner

Move AS er sertifisert som Norges eneste Fortinet Engage Preferred Services Partner

Move har – som en av kun 16 europeiske Fortinet-partnere – blitt invitert inn i Fortinets Engage Preferred Services Partner (EPSP)-program. For våre...

Les mer
Microsoft Teams – Den fantastiske løsningen som ble implementert på et øyeblikk

Microsoft Teams – Den fantastiske løsningen som ble implementert på et øyeblikk

Under korona-pandemien ble innføringen av Microsoft Teams innført i hui og hast for å opprettholde kommunikasjon og samarbeid i mange bedrifter....

Les mer
Copilot Wave 2

Copilot Wave 2

I oktober er det over et halvt år siden Copilot for M365 ble tilgjengelig på norsk og vi i Move har selv opplevd hvor rask utviklingen har vært. Da...

Les mer
Ønsker å oppnå digital kontroll

Ønsker å oppnå digital kontroll

Den største utfordringen Move har oppdaget blant sine kunder er at sikkerhetsstrategien som finnes på et høyt nivå i praksis er vanskelig å få til...

Les mer
Fortinet Security day 2024

Fortinet Security day 2024

Cybertruslene er større enn noen gang. Et mer profesjonalisert trusselbilde, sammen med en rask utvikling av nye teknologier innen blant annet...

Les mer
E-postdomener under angrep: Move tilbyr løsninger for digital sikkerhet

E-postdomener under angrep: Move tilbyr løsninger for digital sikkerhet

I en nylig publisert artikkel i Aftenposten datert 8. september 2023, avslører en skremmende statistikk at hele 7 av 10 e-postdomener tilhørende...

Les mer
Sikre deg mot ransomware og datatap: Derfor trenger du backup av dine SaaS-applikasjoner

Sikre deg mot ransomware og datatap:  Derfor trenger du backup av dine SaaS-applikasjoner

Hvordan sikrer du at dataene på dine SaaS-applikasjoner forblir trygge og tilgjengelige, selv i møte med trusler som ransomware og utilsiktet...

Les mer