Hva er NIS2 og hvilke organisasjoner omfattes av det?

Medarbeider jobber med å implementere NIS 2 på sin bærbare datamaskin
Skrevet av
Maria Svanberg
Lesetid
1 min

Informasjonssikkerhet er et viktig aspekt i dagens stadig mer digitaliserte samfunn, ikke minst for samfunnsviktige organisasjoner. For å styrke beskyttelsen av samfunnsviktige tjenester har EU innført NIS2. I dette blogginnlegget skal vi se nærmere på hva NIS2 er, og hvilke organisasjoner som omfattes av det.

Hva er NIS2?

NIS2 står for "Network and Information Systems Directive 2" og er en oppdatering av det tidligere NIS-direktivet. Målet med NIS2 er å sikre et høyt nivå av informasjonssikkerhet i hele EU ved å styrke beskyttelsen av samfunnsviktige tjenester som en følge av økt digitalisering og cybertrusler. NIS2 omfatter blant annet energiforsyning, finansielle tjenester, helsetjenester og transport.

Fra og med 16. januar 2023 har EUs medlemsland 21 måneder på seg til å integrere NIS2 i sin nasjonale lovgivning. De nye reglene vil gjelde fra 18. oktober 2024 i forbindelse med at det tidligere NIS-direktivet slutter å være gjeldende.

Hvilke organisasjoner omfattes av NIS2?

NIS2 omfatter alle organisasjoner som er involvert i samfunnsviktige tjenester, uavhengig av om de er offentlige eller private. Det inkluderer alt fra store energiselskaper og banker til mindre sykehus og transportselskaper. For å avgjøre om en organisasjon er omfattet av NIS2, må man vurdere virksomhetens betydning for samfunnets funksjoner.

Hvilke krav stiller NIS2 til organisasjonene?

NIS2 stiller høye krav til organisasjoner som omfattes av direktivet. De må blant annet vedta hensiktsmessige tekniske og organisatoriske tiltak for å sikre et høyt informasjonssikkerhetsnivå. De må også rapportere alvorlige hendelser til myndighetene og samarbeide med andre organisasjoner for å håndtere hendelser som påvirker samfunnsviktige tjenester.

NIS2 innebærer også strengere reguleringstiltak; og selskaper som ikke følger standardene risikerer betydelige bøter. Styrende organer kan også holdes personlig ansvarlig dersom lovgivningen ikke følges.

NIS2 sine nye krav inkluderer blant annet:

  • Strengere krav til leverandører og sikkerhet i leverandørkjeden;
  • Utvidede krav til hendelsesrapportering;
  • Forbedrede sikkerhetstiltak for å beskytte mot cybertrusler;
  • Nye krav til gjennomføring av risikovurderinger.

Oppsummert om NIS2:

  • NIS2 er en oppdatering av det tidligere NIS-direktivet og har som hensikt å styrke beskyttelsen av samfunnsviktige tjenester ved å sikre informasjonssikkerhet i hele EU.
  • Alle organisasjoner som er involvert i samfunnsviktige tjenester, uavhengig om de er offentlige eller private, omfattes av direktivet.
  • Organisasjoner som omfattes av NIS2 må vedta hensiktsmessige tekniske og organisatoriske tiltak for å sikre informasjonssikkerheten.
  • De skal rapportere alvorlige hendelser til myndighetene og samarbeide med andre organisasjoner for å håndtere hendelser som påvirker samfunnsviktige tjenester.

Hvordan sikrer organisasjonen din etterlevelse av regelverk knyttet til informasjonssikkerhet og behandling av personopplysninger? Oppdag hvordan Stratsys sitt produkt for informasjonssikkerhet kan forenkle og effektivisere arbeidet deres.