<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">
Smart produksjon logo
Search
Gå til Triple-S.no ›
Abonner

Smartere og mer bærekraftig produksjon

- En blogg fra Triple-S

NIS2 – Det holder ikke lenger med en cyberforsikring

Postet av Knut-Erik Tovslid | 11. mars 2024 | 6 minutter lesetid

NIS2, eller Nettverks- og informasjonssikkerhet (NIS) direktivet, har betydelige implikasjoner for produksjonsbedrifter og kritisk infrastruktur. Det kan være fristende å tenke at en cyberforsikring er enkleste vei til å redusere eller dele risiko knyttet til cyberangrep, men med NIS2 må man brette opp ermene og ta fatt på jobben med å senke den reelle risikoen.  Det hjelper lite om du får dekket dine utgifter ved en produksjonsstans dersom resten av samfunnet rundt deg stopper fordi du ikke kan levere varene.

Det sies at Norge alltid er først ute med å iverksette EU-regler.  Det stemmer ikke helt når det kommer til digital sikkerhet.  Den 20. desember i fjor vedtok Stortinget Lov om Digital Sikkerhet – Digitalsikkerhetsloven.  Loven skal ivareta EUs Network and Information Security Directive (NIS) som ble innført 6. juli 2016.  Loven skal sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele EU, og 17 oktober 2024 vil en utvidet og mer omfattende versjon av NIS tre i kraft – NIS2.  NIS2 vil trolig innlemmes i Digitalsikkerhetsloven, men det er usikkert når dette vil skje.  Skal vi tolke statens egne eksperter i NSM, er dette langt fra bra nok.  Vi henger etter.

Hvorfor trenger vi NIS2?

Se for deg at strømmen blir borte, mobilnettet går ned, vannforsyningen uteblir, alle tunneler må stenge, togene stanser og vanlige matvarer som brød og melk uteblir fra butikkhyllene.  Ikke bare for noen timer, men kanskje over flere dager eller uker.  Hvor sannsynlig er det at vi kan oppleve dette? Det avhenger av hvordan vi har sikret oss. Uten noen form for tiltak på plass er dette et høyst reelt scenario.

Cyberkriminalitet er om kort tid verdens 3.største økonomi – det er big business.  Samtidig ser vi at den geopolitiske situasjonen vi nå står i benytter cyberoperasjoner i krigføring, som skremsel og ikke minst i forbindelse med etterretning.  NSM påpeker i sin rapport «Nasjonalt Digitalt Risikobilde 2023» at gapet mellom trusselaktørenes kapabiliteter og det forebyggende sikkerhetsarbeidet stadig øker.  De sier også at den teknologiske utviklingen skyter fart spesielt med bruk av kunstig intelligens.  Dette har også en negativ side da vi ser at teknologien også tas i bruk av kriminelle.

Kampen om å bekjempe cyberkriminalitet vinnes ikke alene – det må en målrettet og koordinert innsats til. Samfunnskritiske funksjoner må samarbeide og sikre sin drift, slik at vi kan opprettholde et normalt levesett og redusere risikoen for at vi rammes av cyberoperasjoner.  Dette er i korte trekk det NIS2-direktivet skal ivareta.

Hvem omfattes av NIS2?

NIS2 omfatter virksomheter med over 50 ansatte og en årlig omsetning på over 10 millioner Euro.  Samtidig kan mindre virksomheter med en avgjørende rolle for samfunn og økonomi også bli berørt. Direktivet deler virksomhetene inn i to kategorier, vesentlige og viktige.  Dersom vi setter søkelys på virksomheter med operasjonelle systemer (ICS), kan vi begrense omfanget til følgende:

Vesentlige virksomheter

  • Energi
  • Transport
  • Drikkevann
  • Avløpsvann
  • Digital infrastruktur
  • IKT-tjenester
  • Romvirksomhet

Viktige virksomheter

  • Post - og kurertjenester
  • Avfallshåndtering
  • Produksjon og distribusjon av kjemikalier
  • Matproduksjon
  • Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)

Mange av disse virksomhetene er i dag underlagt eksisterende lovverk som sikkerhetsloven eller beredskapsforskriften, men NIS2 vil stramme inn og tydeliggjøre ansvaret med tanke på cybersikerhet i egen organisasjon.  Vesentlige virksomheter vil ha et strengere tilsynsregime enn viktige virksomheter.
Norske selskap som har virksomhet og aktivitet i land innenfor EU vil måtte forholde seg til NIS2 allerede fra oppstarten i oktober i år, dersom de faller inn under NIS2 kravene. I utgangspunktet må den da være innenfor de virksomhetene som er listet over, samt at bedriften har mer enn 50 ansatte.

Hva betyr NIS2 for produksjonsbedrifter og kritisk infrastruktur?

NIS2 er omfattende og det er mye å sette seg inn i. I det store bildet handler dette om en risikobasert tilnærming til cybersikkerhet.  Mange bedrifter har allerede startet arbeidet, og de som har valgt å følge en standard som f.eks ISO 27001 på IT-siden og IEC62443 på OT-siden, er bedre rustet og forberedt. 

Det er 4 hovedområder selskapene må jobbe aktivt med for å oppfylle kravene i NIS2:

  1. Risk Management – risikoanalyser må gjennomføres og tiltak må iverksettes på den risiko som overstiger det som er akseptabelt.  Det hele må settes i system og jobbes med på kontinuerlig basis
  2. Corporate Accountability – ledelsen I selskapet må ta eierskap og styring og sørge for å ha nok kunnskap til å ta beslutninger og styre arbeidet med å redusere risiko for cyberhendelser.
  3. Reporting Obligations – selskapet må ha tilstrekkelig innsikt i både IT- og OT-systemene til å kunne avdekke og ikke minst rapportere hva som har skjedd innen fastsatte tidsintervall.
  4. Business Continuity – dersom uhellet er ute og du får en cyberhendelse må du på forhånd ha laget en plan for hvordan du vil sikre driften på best mulig måte slik at du fremdeles kan levere varer og tjenester

I tillegg til disse 4 overordnede kravene er det 10 minimumskrav som det må jobbes med.  Disse kommer vi tilbake til i vårt neste blogginnlegg.

NIS2-direktivet vil sette strenge krav til ledelsen i selskapet.  Kompetanse rundt cybersikkerhet blir vesentlig også på ledelsesnivå.  Dersom ledere ikke følger de krav som NIS2-direktivet, vil de kunne bli bøtelagt og i verste fall straffet personlig og tatt ut av tjeneste.

Krav til rapportering ved en hendelse

Dersom en hendelse skulle inntreffe vil NIS2 sette klare krav til rapportering:

  • Initielt varsel
    Må sendes innen 24 timer og skal gi en kort beskrivelse som sier om hendelsen stammer fra ulovlig eller ondsinnet aktivitet eller har potensielle grenseoverskridende konsekvenser.
  • Hendelsesvarsling
    Må sendes Innen 72 timer og skal gi en beskrivelse med oppdatert informasjonen og en foreløpig vurdering av hendelsens alvorlighetsgrad og virkninger.
  • Mellomrapport
    Må sendes etter forespørsel fra CSIRT eller kompetent nasjonal myndighet med relevante statusoppdateringer i forbindelse med hendelses- og krisehåndtering.
  • Sluttrapport
    Må sendes senest en måned etter hendelsesvarslingen. Rapporten skal gi en grundig beskrivelse av hendelsen som omfatter rotårsak, eventuelle mitigerende tiltak og eventuelle grenseoverskridende effekter.
Hvordan skal NIS2 håndheves?

Sammenlignet med NIS 1 introduserer NIS 2 strengere krav for tilsyn som skal sikre et høyere etterlevelsesnivå.  På lik linje med GDPR, vil dette sette fart på arbeidet med å få NIS2 iverksatt og derpå et bedret sikkerhetsnivå.
Det innføres bøter for de virksomheter som ikke etterlever kravene i NIS2.  Vesentlige virksomheter kan få bøter på opptil €10 millioner eller 2% av deres globale årlige omsetning.  Viktige virksomheter kan få bøter på opptil €7 millioner eller 1,4 % av deres globale årlige omsetning.
Vesentlige virksomheter blir også underlagt et omfattende forebyggende tilsynsregime, der de nasjonale tilsynsmyndighetene har mulighet til å utføre tilfeldig tilsyn, utføre sikkerhetsrevisjoner, samt be om innsyn i informasjon og bevis for etterlevelse.
Viktige virksomheter blir underlagt et noe mindre omfattende tilsynsregime hvor tilsyn kan være aktuelt dersom det foreligger informasjon om at krav ikke er overholdt.  

Hvordan norske bedrifter bør komme i gang

Treghet med å innføre NIS2 i Norge gir oss mer rom til forberedelse. Det viktigste du kan gjøre er å starte nå. Oppsiden er mer kontroll på risiko, en mer robust virksomhet og på sikt trolig en bedret bunnlinje.
Mange har full fokus på IT-sikkerhet og glemmer ofte OT, selv om OT omfatter de mest kritiske systemene og i tillegg fungerer som selve pengepressa i bedriften.  Arbeidet med cybersikkerhet kan virke overveldende og uendelig stort, men da er det viktig å ha en plan, prioritere det kritiske og starte med de enkleste tiltakene. På veien vil man bygge kompetanse og høste verdifulle erfaringer, det kan motivere til økt innsats. Ledelsen må ta initiativet og eierskapet og sørge for å avsette ressurser og midler til arbeidet.

I vårt neste blogginnlegg skal vi se nærmere på konkrete tiltak og aktiviteter man bør starte med for å være best mulig forberedt den dagen NIS2 eller Digitalsikkerhetsloven versjon 2 iverksettes.

Se også opptak av webinaret hvor vi går nærmere inn på temaet on NIS2 og Digitalsikkerhetsloven: Tiltak og hvordan komme i gang.

WEBINAR: NIS2 og Digitalsikkerhetsloven: Tiltak og hvordan komme i gang

 

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering og industriell kommunikasjon rettet mot Olje og Gass, Havbruk, Industri og Offentlig sektor. De siste 5-6 år har han hatt ansvaret for Triple-S sin satsning på Cyber Sikkerhet i OT. Teamet han leder leverer løsninger for trusselovervåking og sårbarhetsanalyse for industrielle kontrollsystemer samt sikker fjerntilkobling og industrielle nettverk. Med kompetanse innen IEC 62443 har han også bistått kunder med rådgivende tjenester for risikoanalyse og kursing innen Cyber sikkerhet i OT. Knut-Erik brenner for sikker og lønnsom produksjon ved økt bruk av automatisering og robotisering.

Topics: Cyber security

Industri 4.0 for dummies

Industri 4.0 for dummies

Denne e-boken forklarer enkelt og jordnært om Industri 4.0 og gir innsikt i hvilke utfordringer og muligheter norsk industri har med å ta i bruk ny teknologi.

Last ned
Cyber Security for industriell produksjon

Cyber Security for industriell produksjon

Denne guiden gir deg råd om hvordan du kartlegger sårbarheter i produksjonen, foretar risikovurderinger, og hvordan du kan jobbe kontinuerlig med sikkerhetsarbeid.

Last ned
Cover-maskinsikkerhet-blogg-2

Maskinsikkerhetens livssyklus

Denne guiden gir en overordnet forståelse for de fem punktene man må jobbe med for å kunne ivareta maskinsikkerheten på en korrekt måte. 

Last ned
Minimer sårbarheten med en solid nettverksstrategi

Lag en solid nettverksstrategi

I e-boken vil du lære om hva som skiller et OT-nettverk fra et IT-nettverk, typiske risikofaktorer for norske bedrifter, og hvordan du utformer en nettverksstrategi. 

Last ned
E-bok industriell digitalisering

Industriell digitalisering

Nye teknologier og digitale løsninger, som «tingenes internett» (IoT), kunstig intelligens (AI), maskinlæring og robotikk, vokser frem og er i ferd med å utløse en ny industriell revolusjon, en revolusjon som vil generere enrekke nye muligheter og gevinster for norsk industri. 

Last ned
Utstyrsovervåking e-guide

Utstyrsovervåking

Tilstandsovervåking og sanntidsinformasjon er et av de viktigste og enkleste områdene en bedrift kan fokusere på for å sikre oppetid og optimal driftstilstand. Har dere mye kostbart og driftskritisk utstyr vil dette være et lønnsomt tiltak.

Last ned

Abonnér på bloggen

KONTAKT OSS

Triple-S
Kristoffer Robins Vei 13
0978 Oslo

Sentralbord:
+47 22 79 05 20