Hva er NIS2? Alt du trenger å vite om NIS-direktivet

NIS står for Network and Information Security (norsk: Nettverks- og informasjonssikkerhet), og er et regelverk som skal sørge for høy digital sikkerhet i virksomheter som leverer samfunnsviktige tjenester i EU og EØS. NIS2 er en utvidelse av det opprinnelige NIS-direktivet (NIS1). I Norge innføres NIS-direktivet gjennom lov om digital sikkerhet.

I dag er alle virksomheter avhengige av digitale tjenester og digital infrastruktur. Økt risiko for dataangrep gjør det nødvendig å iverksette beskyttelsestiltak. NIS-direktivet gir felles retningslinjer for nettverks- og informasjonssikkerhet i alle EU/EØS-land.

I denne artikkelen finner du alt du trenger å vite om NIS1 og NIS2, spesielt tilpasset deg som jobber innen produksjon. Vi svarer på:

NIS1 ble innført som den første EU-lovgivningen for cybersikkerhet i 2016. Etterfølgeren NIS2 ble vedtatt i desember 2022, og skal innen 24. oktober 2024 være innført i nasjonal rett i alle EU-land, og erstatte NIS1. I Norge tredde lov om digital sikkerhet i kraft 20. desember 2023, og vil innlemme NIS1- og NIS2-direktivene.

NIS2-direktivet kommer med en betydelig utvidelse av virkeområdet, hvor flere sektorer omfattes. Det er også flere og mer konkrete krav til sikkerhet og varsling.

Lov om digital sikkerhet (digitalsikkerhetsloven) inkluderer i dag alle krav i NIS1-direktivet. Det pågår arbeid for å forberede nødvendige endringer etter NIS2. Det vil derfor lønne seg å følge kravene i NIS2 allerede nå.

EU-direktiv -> EØS-avtalen -> Stortinget -> Norsk lov og forskrift -> Virksomhet i Norge 

NIS2 omfatter kritiske og viktige sektorer. Virksomheter med mer enn 50 ansatte i sektorene nedenfor er omfattet av NIS2-direktivet. Du kan også være indirekte omfattet av direktivet dersom du er underleverandør til kunder som er direkte omfattet.

NIS2 kommer flere krav og retningslinjer for forebygging og håndtering av virksomheters digitale sikkerhet. Virksomhetens øverste ledelse har ansvar for at kravene oppfylles. Kravene inkluderer blant annet: 

Virksomheter skal varsle myndighetene om betydelige hendelser som rammer nettverk og informasjonssystemer, og kan påvirke samfunnsviktige tjenester. Følgende frister gjelder: 

Tidlig varsling: Så raskt som mulig, senest innen 24 timer. 
Statusoppdatering: Innen 72 timer.
Hendelsesrapport: Innen 1 måned.

Virksomheten skal også varsle kunder/brukere om alvorlige hendelser. 

Brudd på krav og retningslinjer kan føre til at virksomheten blir ilagt bøter, tvangsmulkt eller overtredelsesgebyrer.

Første steg er å få oversikt over alle viktige informasjonssystemer som brukes, og kartlegge hvordan virksomheten håndterer cybersikkerhet, eventuelle trusler og hendelser. Nasjonal sikkerhetsmyndighet anbefaler å stille følgende spørsmål: Har dere:  

Arbeid med forebyggende digital sikkerhet bør være forankret i ledelsen, med rapporter på mål og strategier.

En Cyber Security-programvare kan hjelpe deg med å oppfylle kravene til NIS2-direktivet. octoplant fra AMDT kombinerer backup og versjonskontroll av automasjonssoftware og OT-utstyr med Cyber Security. I denne programvaren får du alle funksjonene du trenger for å oppfylle de kommende NIS-kravene gjennom moduler for Threat Protection, versjonshåndtering, arbeidsflyt og brukerhåndtering:

octoplant’s Threat Protection modul er et effektivt verktøy for å utarbeide risikoanalyse for virksomhetens OT-miljø. Her får du et verktøy for å identifisere sårbarheter i produksjonsmiljøet, samt en risk-score over sårbarheter. Dette gir oversikt over alle potensielle sårbarheter, med mulighet til å prioritere kritiske og ikke-kritiske. 

Threat Protection-modulen kommer også med funksjoner for å sammenligne virksomhetens automasjons- eller OT-utstyr opp mot CVE-, CERT- og CISA-databaser, som gjør det mulig å være i forkant av nye trusler som oppstår. Automatisk backup og sammenligning av automasjons- eller OT-utstyr sikrer at uautoriserte endringer fanges opp, og at ny backup er tilgjengelig. På denne måten beskytter octoplant OT-miljøet både ved å forebygge, oppdage, og gjøre tiltak ved hendelser. 

Versjonskontroll og automatisk backup hjelper deg med å gjenopprette driften, da du alltid har en nylig, tidligere versjon klar til bruk.

octoplant er et Change Management-verktøy, som sikrer nødvendig dokumentasjon ved utvikling og vedlikehold av ditt OT-miljø, uavhengig av om du har eksterne leverandører. Sårbarhetsrapporter gjør at du enkelt kan administrere og publisere informasjon om sårbarheter. 

Med octoplant sikres all nødvendig dokumentasjon, slik at det alltid er mulig å gå tilbake i prosedyren for å se hvor det går galt. Du har kontroll over: Hvem, hva, hvor, når og hvorfor. Hvis endringer gjøres utenfor systemet, vil disse bli fanget opp av automatisk backup og sammenligning. Retningslinjer og prosedyrer kan enkelt introduseres for å administrere og vurdere virksomhetens Cyber Security-risiko.

I octoplant kan du bestemme brukeradministrasjon helt ned til hver enkelt komponent. Det betyr at ansatte, eksterne konsulenter eller andre brukere av systemet kun har tilgang til komponentene eller filene som er relevante for dem. Brukeradministrasjon sørger også for at ikke alle kan ta data ut av, eller sette inn i systemet. 

Med leverandørutsjekk sjekkes filer/data ut av systemet, og sikrer at endringshistorikk og dokumentasjonskrav respekteres, selv om det gjøres av en ekstern person. Dette gjør det mulig å jobbe sikkert og effektivt med enheter som kan ha betydning for videre produksjon, og øker sikkerheten i virksomhetens forsyningskjede.

Vil du vite mer om octoplant? Se produktsiden her.