<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

EUs nye cybersikkerhetsdirektiv øker kravene

EU stiller nå en rekke krav for å beskytte kritisk infrastruktur mot cyberangrep, skriver Erling Schackt i Check Point Norge.

Publisert 12. mars 2023 kl. 15.53
Lesetid: 2 minutter
Artikkellengde er 331 ord
MÅ TA ANSVARET: Ledelsen er ansvarlig for organisasjonens overholdelse av NIS2-direktivet og kan holdes ansvarlig for manglende overholdelse, skriver Erling Schackt. Foto: Check Point Norge
TeknologiTil kategorisiden
Send på epost
Kopier lenken

EUs nye NIS2-direktiv er nylig vedtatt, det er en del av strategien med for å forme Europas digitale fremtid og cybersikkerhet. Justis- og beredskapsdepartementets foreløpige vurdering er at direktivet er EØS-relevant og vil derfor høyst sannsynlig også gjennomføres i Norge.

NIS2 er en direkte utvidelse av NIS-direktivet fra 2016, den første cybersikkerhetsloven på EU-nivå. Bakgrunnen for utvidelsen er et trusselbilde i rask endring, samt en erkjennelse av at det første NIS-direktivet ble iverksatt ulikt på tvers av EU-land. Nå er hovedmålet en helhetlig cybersikkerhet av blant annet kritisk infrastruktur.

NIS2-direktivet inneholder ikke en sjekkliste eller et minimumssett av krav til beskyttelsesteknologi

I motsetning til GDPR-direktivet, som beskytter borgernes personopplysninger, har NIS2 som mål å beskytte samfunnskritiske tjenester innenfor 15 definerte sektorer. Det vil skilles mellom «vesentlige» og «viktige» samfunnskritiske tjenester for eksempel innenfor energi, transport, bank og finans, helse, vann og avløp, digital infrastruktur, offentlig forvaltning, osv.

I henhold til den nye lovgivningen må medlemsstatene blant annet implementere en nasjonal cybersikkerhetsstrategi og en nasjonal lov som inkluderer risikostyrings- og rapporteringskrav for bedrifter som omfattes av NIS2-direktivet, samt et nasjonalt kontaktpunkt for å håndtere NIS2.

NIS2 stiller nye krav til berørte bedrifter og organisasjoner. Dette inkluderer krav til ledelsens kompetanse og ansvar, effektiv risikostyring, herunder risikoanalyse og hendelsesrespons, og rapportering og håndtering av cyberhendelser.

Ledelsen er dermed ansvarlig for organisasjonens overholdelse av NIS2-direktivet og kan holdes ansvarlig for manglende overholdelse. Bedriften eller organisasjonen må selv overholde flere cybersikkerhetskrav, inkludert implementering av sikkerhetstiltak og internasjonale standarder.

NIS2-direktivet inneholder ikke en sjekkliste eller et minimumssett av krav til beskyttelsesteknologi. Den beskriver «passende beskyttelse», som kan tolkes på mange måter. Vi kan imidlertid anta at bedrifter som et minimum trenger brannmur og inntrengingsforebyggende teknologi i nettverket, men også endepunktsikkerhetsbeskyttelse og implementering av flerfaktorautentisering, datakryptering og tilgangsbegrensning.

Det er imidlertid viktig å nevne at ikke alt kan løses med teknologi. Prosess og teknologi er like viktig. Det betyr at organisasjonen din bør få oversikt og en plan, og ikke bare se etter en rask løsning.

Erling Schackt

Teknologisjef i Check Point Norge