Slik forbereder du deg på NIS2: – Norske bedrifter blir en del av totalforsvaret
EUs nye cybersikkerhetsdirektiv er mer omfattende og inngripende enn tidligere lover. Men forbereder du deg godt, kan du få store konkurransefortrinn med på kjøpet.
I løpet av det neste året skal NIS2 trolig implementeres i Norge. Hvis du ennå ikke har hørt om det, kan det være lurt å lese videre.
– Direktivet kommer nemlig til å påvirke svært mange norske virksomheter, fordi det også stiller krav om digital sikkerhet i leverandørkjeden, sier Kristian Foss, partner i Bull advokatfirma .
NIS2 er EUs nye cybersikkerhetsdirektiv, og er kort for nettverk og informasjonssikkerhet.
Som navnet tilsier er dette en oppfølger, og bygger på NIS1-direktivet fra 2016. NIS2 er derimot strengere og vil gjelde flere virksomheter.
– Dette er en reaksjon på det stadig økende trusselnivået – samtidig som samfunnet har blitt mer avhengig av digital infrastruktur, forklarer Foss.
Omfattende og inngripende
Grovt sett kan man si at alle virksomheter som på en eller annen måte bidrar til å holde viktig digital infrastruktur – og dermed indirekte, samfunnsmaskineriet – i gang, vil påvirkes av direktivet.
Nesten alt som har med digital infrastruktur omfattes: Datanettverk, tilknyttet programvare, skytjenester, datasentre, IoT-enheter og annen IT-infrastruktur.
NIS2 treffer dessuten praktisk talt alt som er av sektorer: Fra energi, elektrisitet, olje og gass, helse og transport til bank, finans og offentlig administrasjon. Selv romfart er nevnt i direktivet.
– NIS2 er betraktelig mer omfattende og inngripende enn nåværende lover om digital sikkerhet. Det gjør det vanskelig å ignorere, sier Foss.
Frokostseminar: NIS2 og cybersikkerhet i praksis – hva kreves?
Bull og Digital Norway inviterer ledere og styremedlemmer til et seminar om NIS2-direktivet, ansvarsområder og nødvendige tiltak for å beskytte virksomheten mot cyberangrep. Arrangementet er fysisk, og finner sted hos Bull i Universitetsgata 9 i Oslo 5. februar klokka 08.30-10.30.
Leverandørkjeden treffes
Direktivet har en risikobasert tilnærming, noe som gjør at de største og mest samfunnskritiske aktørene er underlagt de mest inngripende kravene.
Det betyr ikke at mindre aktører slipper unna – snarere tvert i mot.
– Et av kravene handler om at alle risikoer skal vurderes. Underleverandører nevnes spesielt. Det betyr at virksomheter må sikre seg gjennom kontrakter og oppfølging at alle leverandører også er i samsvar med NIS2, sier Foss.
Han mener dette vil ha mye å si for avtaler i norske og europeiske forsyningskjeder. NIS2 innebærer nemlig at underleverandører må stille egne vilkår nedover til sine leverandører – som igjen må sikre sine underleverandører– også videre.
– Noen aktører vil måtte kreve retten til å inspisere flere nivåer ned i leverandørkjeden. Disse må dermed pålegge egne underleverandører å sikre seg denne retten nedover, igjen. Det handler om ansvarliggjøring og total oversikt, følger Foss opp.
Kan gjøre deg mer attraktiv på leverandørmarkedet
For de største aktørene i bransjen er mange av kravene i NIS2 kjent stoff. Mange har allerede gode rutiner for dokumentasjon, oppfølging og rapportering når det kommer til digital sikkerhet.
Den store forskjellen fra NIS1 er at NIS2 omfatter flere aktører, mer detaljerte og vidtgående krav og en kraftig ansvarliggjøring av ledelsen. Men det at regler og reguleringer for cybersikkerhet går fra å være «kjekt å ha» til «nødvendig å ha» er ikke nødvendigvis negativt.
– Reglene er ikke laget for å plage folk. De er laget av en grunn – nemlig for å beskytte virksomheter og samfunnet mot stadig økende cybertrusler.
Foss understreker dessuten at gode cyberutiner kan gjøre deg mer attraktiv på leverandørmarkedet .
– 2025 er kanskje året god cybersikkerhet går fra å være en hygienefaktor til å bli et konkurransefortrinn.
NSM: – Norske bedrifter er en del av totalforsvaret
Selve formålet med direktivet handler om å øke den digitale motstandsdyktigheten til både offentlige og private aktører. I regjeringens posisjonsnotat sies det også at innføringen skal «forbedre den felles bevisstheten og kapasiteten knyttet til motstandsdyktighet».
Dette henger sammen med ideen om næringslivet som kritisk leverandør til norsk samfunnsinnfrastruktur – og dermed som en del av det norske totalforsvaret, sier Martin Albert-Hoff, avdelingsdirektør i Nasjonal Sikkerhetsmyndighet.
– I takt med den teknologiske utviklingen, blir også trusselbildet mer komplekst. Vi vet at alle norske bedrifter kan være et mål, fordi de kan være en vei inn til større verdier, sier Albert-Hoff.
Dagens cyberkriminelle organiserer seg dessuten annerledes. Det er ikke bare snakk om enkeltpersoner og fragmenterte grupper. De kan representere stater og operere som avanserte aktører med betydelige ressurser.
Det har man blant annet lært fra krigen i Ukraina, og av hvordan ulike statsfinansierte cyberaktører har angrepet – og fortsetter å angripe – sensitive mål i vesten.
– Det betyr med det samme at alle virksomheter – både offentlige og private, store og små – har et overordnet ansvar for å ivareta norsk sikkerhet, sier han.
– SMB-er blir viktigere
I et slikt sikkerhetslandskap spiller små- og mellomstore bedrifters rolle inn i et norsk totalforsvar en stadig viktigere rolle, sier direktør i bedriftsmarkedet i DNB, Rasmus Figenschou.
– Cybertrusler treffer alle, uavhengig av bransje og størrelse. Imidlertid ser vi stadig oftere målrettede angrep mot underleverandører. Derfor må alle bedrifter jobbe godt med beredskap og være bevisst sin rolle inn mot kunder og partnere, sier han.
– Da lønner det seg å starte tidlig med forberedelsene til direktivet og heller innføre tiltakene gradvis. Dette er spesielt viktig for små og mellomstore bedrifter, som ikke har de samme ressursene som større aktører til å håndtere rapportering, juridiske spørsmål og etterlevelse.
Figenschou understreker også hvor viktig det er for SMB-er å få tilgang til kompetanse og ressurser for å ruste seg mot potensielle angrep.
– Her spiller blant annet Digital Norways kursunivers en viktig rolle. Både gjennom deres digitale kompetansemateriell, men også gjennom «Hele Norge øver», hvor bedrifter får mulighet til å simulere cyberangrep i sanntid.
Styret holdes ansvarlig
I NIS2 fremgår det at manglende etterlevelse kan gi ledelse og styret et strengt personlig erstatningsansvar. Foss beskriver dette som uvanlig inngripende, dersom Norge velger å implementere NIS2 med objektivt ansvar.
– Objektivt ansvar betyr at du får ansvar uten å ha utvist skyld. Du trenger ikke å ha vært uaktsom, og formildende omstendigheter vil kanskje ikke frita ansvar. Om et slikt objektivt ansvar blir loven i Norge, vil ledelsespersoner kunne holdes direkte ansvarlige uten en nærmere vurdering, dersom det har skjedd et brudd, sier Foss.
Hva betyr dette egentlig? La oss tegne opp et scenario:
Et lite norsk konsulentselskap leverer vedlikeholdstjenester til en kommunes IT-plattform. Konsulentselskapet angripes – og cyberkriminelle får tilgang til kommunens verdier.
Angrepet er vellykket – i hvert fall fra de kriminelles perspektiv – og kommunen går på et tap i mangemillionsklassen. Vil mellomledere i konsulentselskapet holdes økonomisk ansvarlig for angrepet?
Dersom en mellomleder som har fått tildelt oppgave og myndighet for å sikre en leveranse svikter, kan personlig erstatningsansvar oppstå hos denne personen. Det er altså ikke bare styrer og daglige ledere som kan bli ansvarlige.
– Dersom virksomheten ikke har en utvidet styreforsikring som dekker underordnede, så kan huset i verste fall ryke, advarer Foss.
Han understreker at det fortsatt er uvisst hvordan direktivet vil implementeres i norsk rett. Det har vært skepsis i EU mot objektivt ansvar, så direktivteksten gir rom for tilpassing i det enkelte land
– Vi får se hva høringsnotatet sier, sier han.
En annen vidtgående nyvinning i NIS2 er at myndighetene kan ha rett til å midlertidig fjerne ledelsen i en virksomhet, om visse vilkår er oppfylt.
Beredskapsvenn for bedrifter
I bunnen av artikkelen deler Foss fem tips for å forberede seg på innføringen av NIS2.
I tillegg til disse trekker han frem fjorårets nyord fra Språkrådet, nemlig beredskapsvenn, og lanserer med det samme ideen om beredskapsvenner for bedrifter.
– Jeg tror det finnes mye potensial for både store og små aktører i å samarbeide når det kommer til sikkerhet, sier Foss.
– Kan selskaper i samme bransje steppe inn for hverandre i et angrepstilfelle? Kan man duplisere en leverandørkjede, og på denne måten få billig sikring og unngå «single point of failure»?
– Prioriter sikkerhet i styrearbeidet
Det skal sies at ikke alle kravene er like kompliserte. Mye handler om grunnleggende sikkerhetshygiene og lavthengende frukt som tofaktorautentisering. Det er derfor mye å hente på å starte med relativt enkle tiltak, forklarer Foss.
– Noe av det viktigste vil uansett være å gjøre sikkerhet til en prioritet i styrearbeidet. Det kan ikke behandles som en isolert del av virksomheten, sier han.
Hva kan du gjøre i dag for å være best mulig forberedt på implementeringen av NIS2? Her er fem tips fra Foss:
1. Er du omfattet?
Kartlegg hvordan direktivet treffer deg, enten direkte eller som underleverandør.
NIS2 klassifiserer risiko slik at kravene til sikkerhetstiltak vil tilpasses etter virksomhetens størrelse og risikonivå. Dette gjør at både små og store virksomheter må innføre sikkerhetstiltak som passer til deres spesifikke behov og risiko.
2. Kartlegg kravene
Blant kravene er det snakk om helt konkrete ting som tofaktorautentisering, krav om backupsystemer og intern cybersikkerhetstrening – til litt vagere konsepter som å være i stand til å «håndtere en hendelse».
3. Utarbeid interne retningslinjer for hvordan dere skal følge opp kravene
– Mye av dette går på planlegging. Man må ha en risikovurdering, planlegge håndtering av hendelser, en god beredskapsplan, kontinuitetsplanlegging, ha katastrofeberedskap og mye mer, sier Foss.
4. Identifiser trusler og tett gapene
Hvor er sårbarhetene i virksomheten? Det er viktig å kjenne til truslene og systematisk jobbe for å eliminere og redusere risikoen disse utgjør. Gjennomfør regelmessige sikkerhetsvurderinger og bruk resultatene til å styrke forsvarsmekanismene.
5. Ansvarliggjør og fordel roller
Hvem har ansvar for beredskap? Hvem kontakter IT-partner om dere mistenker et angrep? Hvem sitter i kriseteamet? Kommuniser roller, ansvarsområder og oppgaver på en tydelig måte. Sørg for at det finnes en god beredskapsplan og klare prosedyrer for å håndtere ulike typer trusler. Dette inkluderer regelmessige øvelser.