Nytt cybersikkerhetsdirektiv vedtatt av EU-rådet og parlamentet
Med NIS2-direktivet må mange virksomheter forberede seg på nye krav, bl.a. knyttet til krypteringsteknologi, autentisering, forsyningssikkerhet, opplæring, risikovurderinger og varsling. Brudd på forpliktelsene kan medføre omfattende bøter.
NIS2-direktivet for nettverk- og informasjonssystemer ble foreslått av EU-kommisjonen i 2020. Formålet var å styrke cybersikkerheten og øke motstandsdyktigheten til både private og offentlige aktører som opererer i relevante sektorer i EU. Samtidig skulle direktivet erstatte det eksisterende «NIS-direktivet» som aldri ble gjennomført i Norge selv om et lovforslag ble sendt på høring og et utkast til lov ble opprettet.
NIS2-direktivet medfører både en utvidelse av virkeområde og presisering av krav til sikkerhetstiltak og rapportering. Justis- og beredskapsdepartementets foreløpige vurdering er at direktivet er EØS-relevant og vil derfor høyst sannsynlig vil gjennomføres i Norge.
Hvilke virksomheter gjelder direktivet for?
NIS2-direktivet gjelder for viktige og vesentlige tjenesteytere som er underlagt forskjellige regler for tilsyn. Tjenestene som omfattes fastsettes i vedlegg til direktivet, og det er i motsetning til det gamle direktivet, ikke lenger opp til medlemsstatene å avgjøre hvilke virksomheter som treffes av regelverket.
Vesentlige tjenester omfatter blant annet sektorene energi, transport, drikkevannsforsyning, bankvirksomhet, helse og digital infrastruktur og offentlig forvaltning.
Viktige tjenester inkluderer post- og leveringstjenester, avfallshåndtering, matproduksjon og distribusjon, forskning, en rekke utstyrsprodusenter og visse tilbydere av digitale tjenester.
NIS2-direktivet kan også få indirekte betydning for leverandører til de nevnte tjenesteområdene gjennom kontraktsrettslige krav.
Forpliktelsene i NIS2-direktivet treffer som utgangspunkt bare mellomstore og store virksomheter i relevante sektorer. I praksis er dette virksomheter med over 50 ansatte og en årlig omsetning eller samlet balanse på mer enn EUR 10 millioner. Unntak fra størrelseskvalifikasjonen medfører likevel at mindre virksomheter kan underlegges reglene, f.eks. virksomheter av særlig sikkerhetsmessig betydning og visse tilbydere av tjenester knyttet til digital infrastruktur og offentlig forvaltning.
Hvordan forberede seg på direktivet?
De viktigste forpliktelsene som pålegges virksomhetene er nedfelt i direktivets kapittel IV.
For det første pålegges virksomheter å treffe forholdsmessige tekniske og organisatoriske tiltak for å håndtere risiko knyttet til sikkerhet i nett- og informasjonssystemer jf. artikkel 21. Som i det gamle direktivet må sikkerhetsnivået stå i forhold til risikoen, men det innføres i tillegg visse minimumskrav til tiltakene. Berørte virksomheter bør derfor forberede seg ved å:
- Etablere policyer for risikoanalyse og informasjonssikkerhet, herunder kryptografi og kryptering;
- Implementere prosedyrer knyttet til hendelseshåndtering (forebygging, oppdagelse og reaksjon);
- Planlegge for og sikre driftskontinuitet og krisehåndtering (f.eks. krav til back-up, redundans);
- Gjennomføre tiltak knyttet til forsyningssikkerhet (kontroll på leverandørkjeder mv.);
- Sørge for håndtering av sikkerhet og sårbarheter ved anskaffelse og vedlikehold av IT-systemer (f.eks. sikre at man er på seneste versjon);
- Innføre autentiseringsløsninger, herunder multifaktorautentisering og sikker kommunikasjon for tilgangskontroll; og
- Sikre grunnleggende datahygiene (f.eks. prosedyrer for sletting av informasjon før utfasing av IT-utstyr) og cybersikkerhetsopplæring.
For det andre pålegges vesentlige og viktige tjenestetilbydere en varslingsplikt overfor relevante myndigheter (og i noen tilfeller tjenestemottakere) ved sikkerhetshendelser som kan medføre vesentlige driftsforstyrrelser eller vesentlig økonomisk/ikke-økonomisk tap, jf. artikkel 23. Varsling må skje innen 24 timer, og en foreløpig rapport med informasjon om hendelsen må sendes innen 72 timer.
Når NIS2-direktivet gjennomføres i Norge, må myndighetene vedta en nasjonal cybersikkerhetsstrategi og etablere tilsynsmyndigheter som har ansvar for håndheving av regelverket.
Sanksjoner
Medlemsstatene forpliktes til å innføre lovgivning som hjemler bøteleggelse av foretak som bryter direktivets bestemmelser, samt kompetanse til å gi bindende pålegg (for eksempel suspensjon av virksomhet). Det er opp til nasjonal lovgivning å fastsette et maksimumsbeløp for bøtene.
For vesentlige tjenestetilbydere må maksimal bøtesats minimum være EUR 10 millioner eller 2 % av den samlede globale årsomsetningen til virksomheten, utfra hvilket beløp som blir høyest. For viktige tjenestetilbydere skal maksboten være minst EUR 7 millioner eller 1,4 % av den samlede globale årsomsetningen. Det er derfor mulig at den norske gjennomføringsloven legger et høyere bøtenivå til grunn.