10 minimale tiltak for overholdelse av det nye NIS2-direktivet
NIS2 EU-direktivet
"Formålet med NIS2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU."
NIS2 i Norge
NIS2-direktivet er ikke ennå inkludert i EØS-avtalen, og dermed ikke automatisk norsk lov, men den norske regjeringens uttalelse viser en klar retning mot å implementere direktivets krav i Norge. Organisasjoner som leverer tjenester i EU-land må være forberedt for å overholde NIS2.
NIS2 virkeområde
De 2 kategoriene for enheter som blir påvirket (vesentlige og viktige) underlegges forskjellige tilsynsregimer og påvirkes også av størrelse. De 2 størrelsesgrupper vil få forskjellige bøter/straff dersom reglene brytes. (Unntak - også mindre virksomheter som anses for å ha en nøkkelrolle for samfunnet, økonomien eller en viss sektor, omfattes av NIS2.)
Er kundene dine påvirket av NIS2?
VESENTLIGE
- Energi
- Transport
- Bank
- Finansmarkedsinfrastrukturer
- Helse
- Drikkevann
- Avløpsvann
- Digital infrastruktur
- IKT-tjenester
- Offentlig forvaltning (sentral og regional)
- Romvirksomhet
VIKTIGE
- Post - og kurertjenester
- Avfallshåndtering
- Produksjon og distribusjon av kjemikalier
- Matproduksjon
- Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)
- Tilbydere av digitale tjenester og
- Forskning
10 MINIMALE TILTAK
NIS2 sier at "vesentlige og viktige" virksomheter skal implementere grunnleggende sikkerhetstiltak for å håndtere spesifikke former for sannsynlige cybertrusler. Disse inkluderer:
- Håndtering av hendelser (beredskap)
- Risikoanalyse
- Kryptering
- Vulnerability, Asset & Patch Management
- Betinget tilgang
- MFA
- Vurdering av risikostyring
- Opplæring og bevisstgjøring
- Backup & Restore
- Sikkerhet i leverandørkjeden
