Ny digitaliseringslov: Her er det du trenger å vite

Hva innebærer den nye digitaliseringsloven, som trer i kraft om kort tid? Vi ser nærmere på de sentrale kravene. Uansett om din virksomhet er omfattet av lovverket eller ikke i denne omgang, vil det nye lovverket bidra til en skjerpet og mer koordinert kamp mot cybertrusler.

Snart vil den nye digitaliseringsloven tre i kraft,. Lovendringen inkluderer EU sitt NIS-direktiv, og det forventes at loven vil implementeres i løpet av året. Og allerede neste år vil loven oppdateres for å ta hensyn til NIS2-direktivet, som er mye mer omfattende enn NIS, vil gjelde for langt flere virksomheter og stiller tydeligere krav til de berørte virksomhetene. La oss utforske de sentrale kravene i direktivet.

Styrking av cybersikkerheten i EU-området

EU jobber som kjent for å legge til rette for et effektivt indre marked, og i den forbindelse har EU laget en rekke direktiver som blant annet skal redusere «friksjonen» mellom medlemslandene. Et av disse direktivene er NIS, som står for Network and Information Security. Formålet med direktivet er å styrke cybersikkerheten i IT-systemer hos virksomheter som leverer tjenester i EU-området. Det skal med andre ord bli enklere å velge leverandører og underleverandører i EU-området, siden alle leverandørene er underlagt de samme sikkerhetskravene.

Kritiske og viktige sektorer

Forsiktige anslag tyder på at rundt 100.000 virksomheter vil være omfattet av NIS2. Det er med andre ord ikke alle virksomheter. Et vesentlig kriterium er hvorvidt virksomheten opererer i en sektor som defineres som kritisk eller viktig. Eksempler på kritiske sektorer er energi, transport, helse, drikkevann, digital infrastruktur, IKT-tjenester og offentlig forvaltning. Eksempler på viktige tjenester er matproduksjon, posttjenester og tilbydere av digitale tjenester. Vi anbefaler at dere sjekker hvorvidt deres virksomhet vil være omfattet av NIS2 allerede nå.

Ledelsesforankring

NIS2 er tydelig på at ledelsen skal være engasjert i cybersikkerhetsarbeidet. Ledelsen skal blant annet delta på opplæringstiltak, de skal godkjenne risikohåndteringsplanen, og de skal sikre at sikkerhetstiltakene blir gjennomført. Dette er gode nyheter, og vil forhåpentligvis bidra til enda bedre risikostyring i deres virksomhet.

Sterkere sikkerhetskrav

Sentralt i NIS2 er en liste med sikkerhetstiltak som skal baseres på en «all hazards approach». Her finner vi følgende tiltak:

• Policyer for risikoanalyse og informasjonssikkerhet
• Hendelseshåndtering
• Forretningskontinuitet og beredskap
• Leverandørkjedesikkerhet
• Sikkerhet ved anskaffelse, utvikling og vedlikehold av nettverk og informasjonssystemer
• Policyer og prosedyrer for å evaluere hvor effektive sikkerhetstiltakene er
• Opplæring og basishygiene for cybersikkerhet
• Policyer og prosedyrer for bruk av kryptografi
• Personellsikkerhet, policyer for tilgangskontroll og håndtering av verdier
• Bruk av multifaktorautentisering eller andre autentiseringsløsninger

Dette er som vi ser kjente tiltak som vi finner igjen i ISO 27001. Det står faktisk i et fortalepunkt til NIS2 at et ISO 27001-basert styringssystem for informasjonssikkerhet er en måte å sikre implementasjon av disse tiltakene på. Sammenstiller vi NIS2 og ISO 27001, så ser vi at ISO 27001 er et utmerket rammeverk for å sikre samsvar med NIS2. Virksomheter som har et velfungerende styringssystem for informasjonssikkerhet ligger med andre ord godt an! Noen tilpasninger må imidlertid gjøres, blant annet når det gjelder rapporteringskravene. Her er det en del nytt.

Move hjelper deg

Move Cyber Security har egne samsvarsspesialister som hjelper virksomheter med å få oversikt over hva som må gjøres, bistå med å tette hullene i styringssystemet, og sikre etterlevelse. Vi bruker også samsvarsløsninger som Microsoft Purview for å styre det operative samsvarsarbeidet. Ta gjerne kontakt med oss for en diskusjon om hvordan det står til i deres virksomhet, og hva vi i Move kan bistå med.