Er din bedrift klar for NIS2?

De viktigste kravene i NIS2-direktivet for norske bedrifter handler ikke bare om tekniske sikkerhetstiltak, men om en omfattende styring av cybersikkerhetsrisiko på et strategisk nivå. Her er de sentrale kravene norske virksomheter må forholde seg til:

Ledelsesansvar
Øverste ledelse holdes personlig ansvarlig for cybersikkerhet. Dette er en radikal skjerping sammenlignet med tidligere lovverk – uvitenhet gir ikke lenger frikjennelse.

Risikohåndtering og sikkerhetstiltak
Bedrifter må dokumentere, implementere og kontinuerlig oppdatere sikkerhetstiltak for å håndtere risiko, blant annet knyttet til leverandørkjeder og IKT-systemer. Dette inkluderer alt fra kryptering og tilgangsstyring til sikker utvikling og testing.

Hendelseshåndtering og rapportering
Det er pålagt å rapportere alvorlige sikkerhetshendelser til nasjonale myndigheter (i Norge: NSM) innen 24 timer. En sen rapportering kan i seg selv føre til bøter.

Sikkerhet i leverandørkjeden
Du er ansvarlig ikke bare for egen sikkerhet, men også for sikkerheten i hele verdikjeden. Det krever risikovurdering og kontraktsmessige krav til leverandører.

Etterlevelse og sanksjoner:
Manglende overholdelse kan føre til bøter på opptil 10 millioner euro eller 2 % av global omsetning – dette gjør NIS2 til et regime med reelle økonomiske konsekvenser.

Klassifisering av virksomheter
NIS2 gjelder «essensielle» og «viktige» virksomheter innen sektorer som energi, transport, helse, vannforsyning, digital infrastruktur og offentlig forvaltning. Listen over hvem som omfattes er betydelig utvidet sammenlignet med NIS1.