Insight

Hva er NIS2? Alt du trenger å vite om NIS-direktivet

Header: Alt du trenger å vite om NIS1 og NIS2

NIS står for Network and Information Security (norsk: Nettverks- og informasjonssikkerhet), og er et regelverk som skal sørge for høy digital sikkerhet i virksomheter som leverer samfunnsviktige tjenester i EU og EØS. NIS2 er en utvidelse av det opprinnelige NIS-direktivet (NIS1). I Norge innføres NIS-direktivet gjennom lov om digital sikkerhet.

I dag er alle virksomheter avhengige av digitale tjenester og digital infrastruktur. Økt risiko for dataangrep gjør det nødvendig å iverksette beskyttelsestiltak. NIS-direktivet gir felles retningslinjer for nettverks- og informasjonssikkerhet i alle EU/EØS-land.

I denne artikkelen finner du alt du trenger å vite om NIS1 og NIS2, spesielt tilpasset deg som jobber innen produksjon. Vi svarer på:

  • Hva er forskjellen mellom NIS1 og NIS2?
  • Hvordan påvirker NIS-direktivet norske virksomheter? 
  • Hvilke sektorer omfattes? 
  • Hvilke krav må oppfylles? 
  • Hva kan du gjøre for å møte kravene?

Hva er forskjellen mellom NIS1 og NIS2?

NIS1 ble innført som den første EU-lovgivningen for cybersikkerhet i 2016. Etterfølgeren NIS2 ble vedtatt i desember 2022, og skal innen 24. oktober 2024 være innført i nasjonal rett i alle EU-land, og erstatte NIS1. I Norge tredde lov om digital sikkerhet i kraft 20. desember 2023, og vil innlemme NIS1- og NIS2-direktivene.

NIS2-direktivet kommer med en betydelig utvidelse av virkeområdet, hvor flere sektorer omfattes. Det er også flere og mer konkrete krav til sikkerhet og varsling.

Hvordan påvirker NIS2 norske virksomheter?

Lov om digital sikkerhet (digitalsikkerhetsloven) inkluderer i dag alle krav i NIS1-direktivet. Det pågår arbeid for å forberede nødvendige endringer etter NIS2. Det vil derfor lønne seg å følge kravene i NIS2 allerede nå.

EU-direktiv -> EØS-avtalen -> Stortinget -> Norsk lov og forskrift -> Virksomhet i Norge 

Hvilke sektorer omfattes av NIS2?

NIS2 omfatter kritiske og viktige sektorer. Virksomheter med mer enn 50 ansatte i sektorene nedenfor er omfattet av NIS2-direktivet. Du kan også være indirekte omfattet av direktivet dersom du er underleverandør til kunder som er direkte omfattet.

Kritiske sektorer (omfattet av NIS1)

Energi

Strømforsyning, olje og gass, oppvarming, hydrogen.

Vann og avløp

Drikkevann og avløpsvann.

Bank og finans

Finansmarkedsinfrastruktur.

Digital infrastruktur

Elektronisk kommunikasjon, datasentre, skytjenester osv.

IT-leverandører

Tjeneste- og sikkerhetsleverandører, ICT Service Management.

Helsetjenester

Forskning, laboratorier, medisintekniske produkter.

Transport

Luftfart, jernbane, sjø og vei.

Romsektoren

Bakkebasert infrastruktur.

Offentlig forvaltning

Sentral og regional.

Viktige sektorer (nye i NIS2)

Næringsmiddel

Produksjon og distribusjon av mat- og drikkevarer.

Kjemikalier

Produksjon og distribusjon av kjemikalier.

Industri

Medisinsk utstyr, IKT-utstyr, elektronikk, maskiner og motorkjøretøy.

Forskning

Avfallshåndtering

Post

Digitale tjenester

Leverandører av sosiale medier, søkemotorer og markedsplasser.

Hvilke krav må oppfylles?

NIS2 kommer flere krav og retningslinjer for forebygging og håndtering av virksomheters digitale sikkerhet. Virksomhetens øverste ledelse har ansvar for at kravene oppfylles. Kravene inkluderer blant annet: 

Ikon: Cybersikkerhet

1. Risikoanalyse og sikkerhetspolicy

Risikoanalyse og sikkerhetspolicy for alle informasjonssystemer.

Ikon: Cybersikkerhet

2. Hendelseshåndtering

Forebygge, oppdage og reagere på hendelser.

Ikon: Backup

3. Driftskontinuitet og krisehåndtering

Inkludert backup og gjenoppretting av informasjon.

Ikon: Cybersikkerhet

4. Sikkerhet knyttet til IT-systemer

Sikkerhet i forbindelse med anskaffelse, bruk og vedlikehold av nettverks- og informasjonssystemer.

Ikon: Cybersikkerhet

5. Håndtere Cyber Security-risikoer

Retningslinjer og prosedyrer for å vurdere effektiviteten av tiltak for å håndtere cybersikkerhetsrisikoer.

Ikon: Cybersikkerhet

6. Sikkerhet i leverandørkjeder

Sikkerhet på tvers av kunder og underleverandører.

Ikon: Cybersikkerhet

7. Retningslinjer for tilgang

Retningslinjer og rutiner for tilgangskontroll, personellsikkerhet og autentisering.

Ikon: Kryptering

8. Kryptering

Retningslinjer og rutiner for bruk av kryptering der det er hensiktsmessig.

Varslingsplikt

Virksomheter skal varsle myndighetene om betydelige hendelser som rammer nettverk og informasjonssystemer, og kan påvirke samfunnsviktige tjenester. Følgende frister gjelder: 

Tidlig varsling: Så raskt som mulig, senest innen 24 timer. 
Statusoppdatering: Innen 72 timer.
Hendelsesrapport: Innen 1 måned.

Virksomheten skal også varsle kunder/brukere om alvorlige hendelser. 

Konsekvenser ved brudd på krav og retningslinjer

Brudd på krav og retningslinjer kan føre til at virksomheten blir ilagt bøter, tvangsmulkt eller overtredelsesgebyrer.

Hva kan du gjøre for å møte kravene?

Første steg er å få oversikt over alle viktige informasjonssystemer som brukes, og kartlegge hvordan virksomheten håndterer cybersikkerhet, eventuelle trusler og hendelser. Nasjonal sikkerhetsmyndighet anbefaler å stille følgende spørsmål: Har dere:  

  • En policy for digital sikkerhet?
  • Oversikt over informasjonssystemer som er viktige for kritiske aktiviteter? 
  • Sikkerhetsvurderinger: Oversikt over konsekvenser dersom data og informasjon blir utilgjengelig, endret eller delt med uvedkommende?
  • Oversikt over digital sikkerhet knyttet til leverandører?
  • Oversikt over iverksatte sikkerhetstiltak?
  • En plan for hendelseshåndtering?

Arbeid med forebyggende digital sikkerhet bør være forankret i ledelsen, med rapporter på mål og strategier.

Møt kravene til NIS2 med en Cyber Security-løsning

En Cyber Security-programvare kan hjelpe deg med å oppfylle kravene til NIS2-direktivet. octoplant fra AMDT kombinerer backup og versjonskontroll av automasjonssoftware og OT-utstyr med Cyber Security. I denne programvaren får du alle funksjonene du trenger for å oppfylle de kommende NIS-kravene gjennom moduler for Threat Protection, versjonshåndtering, arbeidsflyt og brukerhåndtering:

octoplant threat protection-model for NIS2

1. Risikoanalyse og sikkerhetspolicy for informasjonssystemer

octoplant’s Threat Protection modul er et effektivt verktøy for å utarbeide risikoanalyse for virksomhetens OT-miljø. Her får du et verktøy for å identifisere sårbarheter i produksjonsmiljøet, samt en risk-score over sårbarheter. Dette gir oversikt over alle potensielle sårbarheter, med mulighet til å prioritere kritiske og ikke-kritiske. 

2. Hendelseshåndtering

Threat Protection-modulen kommer også med funksjoner for å sammenligne virksomhetens automasjons- eller OT-utstyr opp mot CVE-, CERT- og CISA-databaser, som gjør det mulig å være i forkant av nye trusler som oppstår. Automatisk backup og sammenligning av automasjons- eller OT-utstyr sikrer at uautoriserte endringer fanges opp, og at ny backup er tilgjengelig. På denne måten beskytter octoplant OT-miljøet både ved å forebygge, oppdage, og gjøre tiltak ved hendelser. 

3. Driftskontinuitet og krisehåndtering

Versjonskontroll og automatisk backup hjelper deg med å gjenopprette driften, da du alltid har en nylig, tidligere versjon klar til bruk.

Versjonshåndtering i octoplant

4. Sikkerhet knyttet til utvikling og vedlikehold av nettverk og informasjonssystemer

octoplant er et Change Management-verktøy, som sikrer nødvendig dokumentasjon ved utvikling og vedlikehold av ditt OT-miljø, uavhengig av om du har eksterne leverandører. Sårbarhetsrapporter gjør at du enkelt kan administrere og publisere informasjon om sårbarheter. 

Arbeidsflyt i octoplant

5. Retningslinjer og prosedyrer for tiltak mot Cyber Security-risiko

Med octoplant sikres all nødvendig dokumentasjon, slik at det alltid er mulig å gå tilbake i prosedyren for å se hvor det går galt. Du har kontroll over: Hvem, hva, hvor, når og hvorfor. Hvis endringer gjøres utenfor systemet, vil disse bli fanget opp av automatisk backup og sammenligning. Retningslinjer og prosedyrer kan enkelt introduseres for å administrere og vurdere virksomhetens Cyber Security-risiko.

Brukerhåndtering i octoplant

6. Sikkerhet i leverandørkjeden og retningslinjer for tilgang

I octoplant kan du bestemme brukeradministrasjon helt ned til hver enkelt komponent. Det betyr at ansatte, eksterne konsulenter eller andre brukere av systemet kun har tilgang til komponentene eller filene som er relevante for dem. Brukeradministrasjon sørger også for at ikke alle kan ta data ut av, eller sette inn i systemet. 

Med leverandørutsjekk sjekkes filer/data ut av systemet, og sikrer at endringshistorikk og dokumentasjonskrav respekteres, selv om det gjøres av en ekstern person. Dette gjør det mulig å jobbe sikkert og effektivt med enheter som kan ha betydning for videre produksjon, og øker sikkerheten i virksomhetens forsyningskjede.

Er din bedrift klar for NIS2? Se vår NIS2-guide
Last ned vår NIS2-guide

En enkel innføring i NIS2 i fire deler.

  • Close

    Download file

NIS2 Whitepaper
Last ned white paper:

Få vite mer om hvordan octoplant kan oppfylle NIS-kravene

Vil du vite mer om hvordan octoplant kan gjøre deg klar for NIS1 og NIS2? Fyll ut skjemaet, så kontakter vi deg!

Navn(Påkrevd)
Flere insights