NIS2-direktivet er EUs nye lovgivning for cybersikkerhet. Det trådte i kraft i 2024 og vil få stor betydning også for virksomheter i Norge – både offentlige og private. NIS2 stiller bl.a. strengere krav til sikkerhet, risikostyring og forebygging. Men hva betyr det egentlig i praksis, og hvordan kan dere forberede dere?
Fra NIS1 til NIS2: Hva har endret seg?
NIS-direktivet (Network and Information Security) ble opprinnelig innført for å styrke sikkerheten i kritiske sektorer som energi, helse og transport. NIS2 er en oppdatering og utvidelse av dette regelverket – med flere krav og plikter og en langt bredere virksomhetsgruppe som blir omfattet.
Noen av de viktigste endringene:
- Flere virksomheter omfattes: NIS2 gjelder ikke bare «kritiske» sektorer (som var omfattet av NIS1), men også «viktige» sektorer. Dette gjelder post – og kurertjenester, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon, produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr), tilbydere av digitale tjenester og forskning.
- Skjerpede krav til ledelsen: Ledelsen blir ansvarlig for cybersikkerheten.
- Tilsyn og betydelige sanksjoner ved brudd.
Gjelder NIS2 for norske virksomheter?
Ja – selv om NIS2 er et EU-direktiv, vil det bli en del av norsk lovgivning via Lov om digital sikkerhet, noe som forventes å skje i løpet av 2025. Men virksomheten bør allerede nå forberede seg på NIS2. Dette gjelder også underleverandører til kritiske og viktige sektorer. Husk at det å følge direktivet kan være en stor konkurransefordel.
Dersom en norsk virksomhet opererer i andre EU- eller EØS-land, må den også forholde seg til regelverket i det aktuelle landet, inkludert hvordan NIS2 er implementert der.
Selv om du ikke er direkte omfattet av NIS2, kan kundene dine kreve at du er.
Hva må du gjøre nå?
Målet med NIS2 er å sikre bedre digital motstandskraft. For å være forberedt, bør norske virksomheter begynne å:
- Gjennomføre risikovurderinger knyttet til IKT-systemer
- Etablere sikkerhetsrutiner og beredskapsplaner
- Trene ansatte i datasikkerhet – både for å redusere risiko og for å møte lovkrav
- Involvere ledelsen aktivt i sikkerhetsarbeidet
Hvordan kan Dataprotect hjelpe?
Dataprotect tilbyr vi moderne og lettforståelige kurs i datasikkerhet for ansatte. Våre korte og praktiske kursmoduler er laget for å styrke sikkerhetskulturen – og hjelper virksomheten din med å møte kravene i NIS2.
Ved å investere i bevisstgjøring og opplæring i dag, står dere bedre rustet i morgen.
Vil du vite mer om hvordan vi kan hjelpe virksomheten din å forberede seg på NIS2?
Ta kontakt med oss, eller start et kurs direkte fra nettsiden vår.