Alt du trenger å vite om lov om digital sikkerhet (DSL) og NIS 2

Det er flere faktorer som må vurderes for å kunne avgjøre om en virksomhet omfattes av NIS2 eller ikke, og er man i tvil er det best å ta kontakt med fagfolk. Dersom din virksomhet identfisererseg med en eller flere av punktene nedenfor er dere trolig om fattet av NIS2 direktivet: 

• Har 50 eller flere ansatte. 

• Har en omsetning på over 10 millioner euro. 

• Driver virksomhet i en av de 18 sektorene som NIS-direktivet har definert som kritiske eller viktige. 

• Regnes som en vesentlig enhet (“essential entity”). 

• Regnes som en viktig enhet (“important entity”). 

• Er den eneste tilbyderen av en tjeneste som er viktig for samfunn eller økonomi (eneleverandør). 

• Leverer tjenester hvor forstyrrelser kan påvirke offentlig sikkerhet, trygghet eller folkehelse. 

• Leverer tjenester hvor forstyrrelser kan gi stor systemisk risiko, for eksempel på tvers av landegrenser. 

• Har en kritisk rolle på nasjonalt eller regionalt nivå i sin sektor eller i sektorer som er avhengige av hverandre. 

NIS 2 identifiserer 11 sektorer som er kritiske for samfunnsmessige og økonomiske aktiviteter. Virksomheter innen disse sektorene omfattes av direktivet uavhengig av størrelse dersom de leverer vesentlige tjenester: 

1. Energi - Elektrisitet (forsyningsvirksomheter, systemoperatører,produsenter), fjernvarme/fjernkjøling, olje (rørledninger, produksjon, lagring), gass (forsyning, systemoperatører), hydrogen (produksjon, lagring, overføring)
2. Transport - Luftfart, jernbane, vann (sjø, kyst og innlands), vei
3. Bank - Kredittinstitusjoner
4. Finansmarkedsinfrastrukturer - Operatører av handelsplasser og sentrale motparter (CCP) 
5. Helse - Helseleverandører, EU-referanselaboratorier, forskning og utvikling av medisinske produkter, produsenter av grunnleggende farmasøytiske produkter og kritiske medisinske enheter
6. Drikkevann - Leverandører og distributører av vann til menneskelig konsum
7. Avløpsvann - Foretak som samler inn, avhender eller behandler by-, husholdnings- eller industrielt avløpsvann
8. Digital infrastruktur - Internettknutepunkt-leverandører (IXP), DNS-tjenestetilbydere, TLD-navneregistre, skytjenesteleverandører, datasentertjenesteleverandører, CDN-leverandører, klarerte tjenester, offentlige elektroniske kommunikasjonsnett/tjenester 
9. IKT-tjenesteforvaltning (B2B) - Managed Service Providers (MSP), Managed Security Service Providers (MSSP) 
10. Offentlig forvaltning - Offentlige forvaltningsenheter på sentralt og regionalt nivå 
11. Romvirksomhet - Operatører av bakkebasert infrastruktur som støtter rombaserte tjenester

1. Post- og kurertjenester: Leverandører av post- og kurértjenester 
2. Avfallshåndtering: Foretak med avfallshåndtering som hovedaktivitet 
3. Kjemikalier: Produksjon, distribusjon og håndtering av kjemiske stoffer/produkter 
4. Mat: Engrosdistribusjon og industriell produksjon/prosessering av matvarer 
5. Fremstilling av visse varer: Produksjon av medisinsk utstyr, IKT-utstyr, elektrisk utstyr, maskiner og transportutstyr 
6. Digitale tilbydere: Netthandelsplattformer, nettsøkemotorer, sosiale nettverkstjenester 
7. Forskning: Forskningsorganisasjoner

Nis-direktivet stiller krav til styring, risikohåndtering, hendelseshåndtering, leverandørstyring og rapportering. Er du usikker på om virksomheten din oppfyller kravene? Eller ønsker du veiledning til hva dere må endre på for å sikre riktig etterlevelse? Da er det lurt å begynne med en gap-analyse.

Den vil gi dere svar på hva som må til for å tette gapet mellom nåsituasjonen i deres virksomhet og kravene som NIS-direktivet stiller.  

Et smart sted å begynne, er å gjøre en såkalt gap-analyse. Den vil gi dere svar på hva som må til for å tette gapet mellom nåsituasjonen i deres virksomhet og kravene som NIS-direktivet stiller.

Les mer om hva en gap-analyse er og hvordan vi i Netsecurity jobber med gap-analyser her.

NIS2 gjelder kanskje ikke deg – men konsekvensene gjør det:  

Når sikkerheten skjerpes rundt deg, blir du det svakeste leddet 

Trusselaktører bryr seg ikke lenger om hvem du er – de bryr seg om hvor det er lettest å komme inn. I takt med at stadig flere virksomheter begynner å etterleve NIS2 og implementere kravene fra Lov om digital sikkerhet, vil deres sikkerhetsnivå øke betraktelig. Det betyr at angripere i økende grad vil vende blikket mot dem som ikke har gjort jobben. 

Selv om virksomheten din ikke formelt omfattes av digitalsikkerhetsloven (NIS2), setter loven en ny standard for hva som anses som god digital sikkerhet. Ved å følge prinsippene og kravene i loven – som risikostyring, beredskap og hendelseshåndtering – styrker du både virksomhetens motstandskraft og tilliten hos kunder og partnere. Mange større aktører vil dessuten kreve at leverandører og samarbeidspartnere følger tilsvarende sikkerhetsnivå, slik at du står sterkere i fremtidige anbud og leveranse  

Det anbefales å vurdere om sine leverandører er underlagt loven/direktivet, ettersom leverandører er pliktig til å stille krav i sin forsyningskjede (Artikkel 21 2d).  

Informasjonssikkerhetsstandarder som ISO/IEC 27001 kan være et godt steg for å imøtekomme kravene i digitalsikkerhetsloven og NIS 2, men det er viktig å poengtere at standarden i seg selvikke er tilstrekkelig og garanterer derfor ikke compliance. Netsecurity sin anbefaling er å foreta en kartlegging av den aktuelle informasjonssikkerhetsstandarden opp mot lovverket. Her burde man se på hvilke krav informasjonssikkerhetsstandarden stiller og sammenligne dette med kravene i lovverket for å kunne identifisere gap og supplere med nødvendige tiltak. 

Dersom en virksomhet ønsker å sertifisere seg mot en informasjonssikkerhetsstandard, vil etterlevelse av gjeldende lover og regulatoriske krav, som for eksempel digitalsikkerhetsloven i Norge eller NIS2-direktivet, være nødvendig, siden mange standarder eksplisitt inkluderer slike krav. 

Det er imidlertid viktig å forstå at standardene også stiller ytterligere krav utover lovverket. Lov og direktiv fungerer derfor ikke som et minstenivå for sertifisering – det er ikke nok å kun følge loven for å oppnå formell sertifisering.

Et sentralt prinsipp i både veiledningen og lovverket knyttet til NIS2s virkeområde er at når en virksomhet leverer tjenester innenfor en sektor som omfattes av NIS2-direktivet, så gjelder kravene for hele virksomheten, ikke bare for den delen som leverer tjenesten. 

Dette betyr at dersom hovedenheten (for eksempel et ASA-selskap registrert i Norge eller Danmark) omfattes av direktivet, enten som en vesentlig eller viktig enhet, må NIS2-kravene implementeres på tvers av hele organisasjonen (basert på virksomhetens juridiske enhet, altså MVA-nummeret). 
 
NIS2 stiller krav til alle nettverks- og informasjonssystemer som virksomheten bruker i sin drift eller for å levere sine tjenester.

Dette omfatter: 

• All maskinvare (IT, medisinsk utstyr, OT/industrielle kontrollsystemer) 

• Alle data 

• Alle leverandører og tredjepartsleveranser 

Selv om bare noen av systemene er direkte knyttet til tjenesten som omfattes av direktivet, gjelder kravene for alle systemer som støtter virksomhetens drift eller tjenesteleveranse. 

For selskaper med virksomhet utenfor EU/EØS betyr dette at også systemer og lokasjoner utenfor Europa kan omfattes. Dersom et IT-system i Asia eller et produksjonsanlegg i Sør-Amerika er nødvendig for å drifte eller støtte leveransen av en NIS2-relevant tjeneste i EU, må sikkerheten i disse systemene og lokasjonene oppfylle NIS2-kravene.