NIS2, eller Nettverks- og informasjonssikkerhet (NIS) direktivet, har betydelige implikasjoner for produksjonsbedrifter og kritisk infrastruktur. Det kan være fristende å tenke at en cyberforsikring er enkleste vei til å redusere eller dele risiko knyttet til cyberangrep, men med NIS2 må man brette opp ermene og ta fatt på jobben med å senke den reelle risikoen. Det hjelper lite om du får dekket dine utgifter ved en produksjonsstans dersom resten av samfunnet rundt deg stopper fordi du ikke kan levere varene.
Det sies at Norge alltid er først ute med å iverksette EU-regler. Det stemmer ikke helt når det kommer til digital sikkerhet. Den 20. desember i fjor vedtok Stortinget Lov om Digital Sikkerhet – Digitalsikkerhetsloven. Loven skal ivareta EUs Network and Information Security Directive (NIS) som ble innført 6. juli 2016. Loven skal sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele EU, og 17 oktober 2024 vil en utvidet og mer omfattende versjon av NIS tre i kraft – NIS2. NIS2 vil trolig innlemmes i Digitalsikkerhetsloven, men det er usikkert når dette vil skje. Skal vi tolke statens egne eksperter i NSM, er dette langt fra bra nok. Vi henger etter.
Hvorfor trenger vi NIS2?
Se for deg at strømmen blir borte, mobilnettet går ned, vannforsyningen uteblir, alle tunneler må stenge, togene stanser og vanlige matvarer som brød og melk uteblir fra butikkhyllene. Ikke bare for noen timer, men kanskje over flere dager eller uker. Hvor sannsynlig er det at vi kan oppleve dette? Det avhenger av hvordan vi har sikret oss. Uten noen form for tiltak på plass er dette et høyst reelt scenario.
Cyberkriminalitet er om kort tid verdens 3.største økonomi – det er big business. Samtidig ser vi at den geopolitiske situasjonen vi nå står i benytter cyberoperasjoner i krigføring, som skremsel og ikke minst i forbindelse med etterretning. NSM påpeker i sin rapport «Nasjonalt Digitalt Risikobilde 2023» at gapet mellom trusselaktørenes kapabiliteter og det forebyggende sikkerhetsarbeidet stadig øker. De sier også at den teknologiske utviklingen skyter fart spesielt med bruk av kunstig intelligens. Dette har også en negativ side da vi ser at teknologien også tas i bruk av kriminelle.
Kampen om å bekjempe cyberkriminalitet vinnes ikke alene – det må en målrettet og koordinert innsats til. Samfunnskritiske funksjoner må samarbeide og sikre sin drift, slik at vi kan opprettholde et normalt levesett og redusere risikoen for at vi rammes av cyberoperasjoner. Dette er i korte trekk det NIS2-direktivet skal ivareta.
Hvem omfattes av NIS2?
NIS2 omfatter virksomheter med over 50 ansatte og en årlig omsetning på over 10 millioner Euro. Samtidig kan mindre virksomheter med en avgjørende rolle for samfunn og økonomi også bli berørt. Direktivet deler virksomhetene inn i to kategorier, vesentlige og viktige. Dersom vi setter søkelys på virksomheter med operasjonelle systemer (ICS), kan vi begrense omfanget til følgende:
Vesentlige virksomheter
- Energi
- Transport
- Drikkevann
- Avløpsvann
- Digital infrastruktur
- IKT-tjenester
- Romvirksomhet
Viktige virksomheter
- Post - og kurertjenester
- Avfallshåndtering
- Produksjon og distribusjon av kjemikalier
- Matproduksjon
- Produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)
Mange av disse virksomhetene er i dag underlagt eksisterende lovverk som sikkerhetsloven eller beredskapsforskriften, men NIS2 vil stramme inn og tydeliggjøre ansvaret med tanke på cybersikerhet i egen organisasjon. Vesentlige virksomheter vil ha et strengere tilsynsregime enn viktige virksomheter.
Norske selskap som har virksomhet og aktivitet i land innenfor EU vil måtte forholde seg til NIS2 allerede fra oppstarten i oktober i år, dersom de faller inn under NIS2 kravene. I utgangspunktet må den da være innenfor de virksomhetene som er listet over, samt at bedriften har mer enn 50 ansatte.
Hva betyr NIS2 for produksjonsbedrifter og kritisk infrastruktur?
NIS2 er omfattende og det er mye å sette seg inn i. I det store bildet handler dette om en risikobasert tilnærming til cybersikkerhet. Mange bedrifter har allerede startet arbeidet, og de som har valgt å følge en standard som f.eks ISO 27001 på IT-siden og IEC62443 på OT-siden, er bedre rustet og forberedt.
Det er 4 hovedområder selskapene må jobbe aktivt med for å oppfylle kravene i NIS2:
- Risk Management – risikoanalyser må gjennomføres og tiltak må iverksettes på den risiko som overstiger det som er akseptabelt. Det hele må settes i system og jobbes med på kontinuerlig basis
- Corporate Accountability – ledelsen I selskapet må ta eierskap og styring og sørge for å ha nok kunnskap til å ta beslutninger og styre arbeidet med å redusere risiko for cyberhendelser.
- Reporting Obligations – selskapet må ha tilstrekkelig innsikt i både IT- og OT-systemene til å kunne avdekke og ikke minst rapportere hva som har skjedd innen fastsatte tidsintervall.
- Business Continuity – dersom uhellet er ute og du får en cyberhendelse må du på forhånd ha laget en plan for hvordan du vil sikre driften på best mulig måte slik at du fremdeles kan levere varer og tjenester
I tillegg til disse 4 overordnede kravene er det 10 minimumskrav som det må jobbes med. Disse kommer vi tilbake til i vårt neste blogginnlegg.
NIS2-direktivet vil sette strenge krav til ledelsen i selskapet. Kompetanse rundt cybersikkerhet blir vesentlig også på ledelsesnivå. Dersom ledere ikke følger de krav som NIS2-direktivet, vil de kunne bli bøtelagt og i verste fall straffet personlig og tatt ut av tjeneste.
Krav til rapportering ved en hendelse
Dersom en hendelse skulle inntreffe vil NIS2 sette klare krav til rapportering:
- Initielt varsel
Må sendes innen 24 timer og skal gi en kort beskrivelse som sier om hendelsen stammer fra ulovlig eller ondsinnet aktivitet eller har potensielle grenseoverskridende konsekvenser. - Hendelsesvarsling
Må sendes Innen 72 timer og skal gi en beskrivelse med oppdatert informasjonen og en foreløpig vurdering av hendelsens alvorlighetsgrad og virkninger. - Mellomrapport
Må sendes etter forespørsel fra CSIRT eller kompetent nasjonal myndighet med relevante statusoppdateringer i forbindelse med hendelses- og krisehåndtering. - Sluttrapport
Må sendes senest en måned etter hendelsesvarslingen. Rapporten skal gi en grundig beskrivelse av hendelsen som omfatter rotårsak, eventuelle mitigerende tiltak og eventuelle grenseoverskridende effekter.
Hvordan skal NIS2 håndheves?
Sammenlignet med NIS 1 introduserer NIS 2 strengere krav for tilsyn som skal sikre et høyere etterlevelsesnivå. På lik linje med GDPR, vil dette sette fart på arbeidet med å få NIS2 iverksatt og derpå et bedret sikkerhetsnivå.
Det innføres bøter for de virksomheter som ikke etterlever kravene i NIS2. Vesentlige virksomheter kan få bøter på opptil €10 millioner eller 2% av deres globale årlige omsetning. Viktige virksomheter kan få bøter på opptil €7 millioner eller 1,4 % av deres globale årlige omsetning.
Vesentlige virksomheter blir også underlagt et omfattende forebyggende tilsynsregime, der de nasjonale tilsynsmyndighetene har mulighet til å utføre tilfeldig tilsyn, utføre sikkerhetsrevisjoner, samt be om innsyn i informasjon og bevis for etterlevelse.
Viktige virksomheter blir underlagt et noe mindre omfattende tilsynsregime hvor tilsyn kan være aktuelt dersom det foreligger informasjon om at krav ikke er overholdt.
Hvordan norske bedrifter bør komme i gang
Treghet med å innføre NIS2 i Norge gir oss mer rom til forberedelse. Det viktigste du kan gjøre er å starte nå. Oppsiden er mer kontroll på risiko, en mer robust virksomhet og på sikt trolig en bedret bunnlinje.
Mange har full fokus på IT-sikkerhet og glemmer ofte OT, selv om OT omfatter de mest kritiske systemene og i tillegg fungerer som selve pengepressa i bedriften. Arbeidet med cybersikkerhet kan virke overveldende og uendelig stort, men da er det viktig å ha en plan, prioritere det kritiske og starte med de enkleste tiltakene. På veien vil man bygge kompetanse og høste verdifulle erfaringer, det kan motivere til økt innsats. Ledelsen må ta initiativet og eierskapet og sørge for å avsette ressurser og midler til arbeidet.
I vårt neste blogginnlegg skal vi se nærmere på konkrete tiltak og aktiviteter man bør starte med for å være best mulig forberedt den dagen NIS2 eller Digitalsikkerhetsloven versjon 2 iverksettes.
Se også opptak av webinaret hvor vi går nærmere inn på temaet on NIS2 og Digitalsikkerhetsloven: Tiltak og hvordan komme i gang.