Hva innebærer den nye digitalsikkerhetsloven, som trer i kraft om kort tid? Vi ser nærmere på de sentrale kravene. Uansett om din virksomhet er omfattet av lovverket eller ikke i denne omgang, vil det nye lovverket bidra til en skjerpet og mer koordinert kamp mot cybertrusler.
Snart vil den nye digitalsikkerhetsloven tre i kraft,. Lovendringen inkluderer EU sitt NIS-direktiv, og det forventes at loven vil implementeres i løpet av året. Og allerede neste år vil loven oppdateres for å ta hensyn til NIS2-direktivet, som er mye mer omfattende enn NIS, vil gjelde for langt flere virksomheter og stiller tydeligere krav til de berørte virksomhetene. La oss utforske de sentrale kravene i direktivet.
EU jobber som kjent for å legge til rette for et effektivt indre marked, og i den forbindelse har EU laget en rekke direktiver som blant annet skal redusere «friksjonen» mellom medlemslandene. Et av disse direktivene er NIS, som står for Network and Information Security. Formålet med direktivet er å styrke cybersikkerheten i IT-systemer hos virksomheter som leverer tjenester i EU-området. Det skal med andre ord bli enklere å velge leverandører og underleverandører i EU-området, siden alle leverandørene er underlagt de samme sikkerhetskravene.
Forsiktige anslag tyder på at rundt 100.000 virksomheter vil være omfattet av NIS2. Det er med andre ord ikke alle virksomheter. Et vesentlig kriterium er hvorvidt virksomheten opererer i en sektor som defineres som kritisk eller viktig. Eksempler på kritiske sektorer er energi, transport, helse, drikkevann, digital infrastruktur, IKT-tjenester og offentlig forvaltning. Eksempler på viktige tjenester er matproduksjon, posttjenester og tilbydere av digitale tjenester. Vi anbefaler at dere sjekker hvorvidt deres virksomhet vil være omfattet av NIS2 allerede nå.
NIS2 er tydelig på at ledelsen skal være engasjert i cybersikkerhetsarbeidet. Ledelsen skal blant annet delta på opplæringstiltak, de skal godkjenne risikohåndteringsplanen, og de skal sikre at sikkerhetstiltakene blir gjennomført. Dette er gode nyheter, og vil forhåpentligvis bidra til enda bedre risikostyring i deres virksomhet.
Sentralt i NIS2 er en liste med sikkerhetstiltak som skal baseres på en «all hazards approach». Her finner vi følgende tiltak:
Dette er som vi ser kjente tiltak som vi finner igjen i ISO 27001. Det står faktisk i et fortalepunkt til NIS2 at et ISO 27001-basert styringssystem for informasjonssikkerhet er en måte å sikre implementasjon av disse tiltakene på. Sammenstiller vi NIS2 og ISO 27001, så ser vi at ISO 27001 er et utmerket rammeverk for å sikre samsvar med NIS2. Virksomheter som har et velfungerende styringssystem for informasjonssikkerhet ligger med andre ord godt an! Noen tilpasninger må imidlertid gjøres, blant annet når det gjelder rapporteringskravene. Her er det en del nytt.
Move Cyber Security har egne samsvarsspesialister som hjelper virksomheter med å få oversikt over hva som må gjøres, bistå med å tette hullene i styringssystemet, og sikre etterlevelse. Vi bruker også samsvarsløsninger som Microsoft Purview for å styre det operative samsvarsarbeidet. Ta gjerne kontakt med oss for en diskusjon om hvordan det står til i deres virksomhet, og hva vi i Move kan bistå med.