I gamle dager var EU-politikk noe av det kjedeligste, og med mindre det handlet om graden av bøy på bananene, lagde den sjelden noen overskrifter. Men med GDPR og nå NIS2 har det gamle maskineriet i Brussel sannelig fått all verdens oppmerksomhet.
For NIS2 – Network and Information Systems 2 – kommer til å ha en merkbar effekt på alle som blir underlagt det nye regulativet.
Og det blir de fleste av oss.
.jpg)
Lovgivningen bygger videre på det opprinnelige NIS-direktivet for å beskytte kritisk infrastruktur og viktige digitale tjenester – og alt innimellom – i tillegg til å sikre datastrømmene mellom medlemslandene og virksomheter, og dermed borgerne.
Alt dette låter kjempeflott, men for den gjennomsnittlige norske virksomhet eller organisasjon handler NIS2 om én eneste ting:
Har du kontroll på dataene dine – og kan du dokumentere det?
GDPR og NIS2
For de uinnvidde later NIS2 til å handle om det samme som GDPR. Men der GDPR handler om å beskytte den enkelte borgerens digitale vel og vel og rett til personvern, handler NIS2 om å beskytte kritiske nettverk og informasjonssystemer for å beskytte vårt europeiske fellesskap mot cyberangrep.
NIS2 er en forlengelse av NIS og utvider omfanget av direktivet til å omfatte et bredere spektrum av sektorer, inkludert transport, helse og vannforsyning, i tillegg til de opprinnelige sektorene som energi, finans og digitale tjenester – men også store, private matvareforhandlere er underlagt NIS2. I tillegg kommer et stort antall virksomheter i forsyningskjedene, som nå må leve opp til visse nye krav fordi kundene deres er underlagt NIS2.
Omstendelig? Ja, du har det travelt om du ikke har begynt ennå – relativt sett. Jeg har jobbet hardt med NIS2 i over to år nå, og jeg opplever at det er mange – ikke bare i Norge – som slett ikke har kontroll på det ennå. Vi er ikke i nærheten av klare, og fra 17. oktober kan bøter bli skrevet ut.
Det blir hardt, men vi skal nok rekke det. Heldigvis er NIS2, i motsetning til GDPR, svært konkret og stiller klare og presise krav du skal etterleve – og bruker du allerede et sikkerhetsrammeverk som ISO, CIS, CMMK eller NIST, er du på IT- og OT-siden allerede 95 prosent av gårde!
Stadig færre betaler løsepenger – likevel er totalbeløpet høyere enn noensinne
Tre spørsmål
Jeg kommer med en kjapp «kom-i gang-samling» til sist, for med NIS2 må du som virksomhet stille tre spørsmål:
- Hvor mye monitorerer jeg dataene og nettverket mitt – og hvordan gjør vi det?
- Hva overvåker jeg rent faktisk, og hvor mye har jeg egentlig å overvåke?
- Hva har vi av parate planer, hvis (og når) uhellet er ute?
Det over er en grunnpilar i NIS2. Ved hjelp av den riktige monitoreringen og kartleggingen av virksomhetens nettverk, infrastrukturtrafikk og data, kan man gjennomføre de riktige forebyggende tiltakene og risikovurderingene. Men kanskje viktigst av alt hjelper det å ha kartlagt dine nettverk og data, hvis – eller når – du har et databrudd.
Rapportering er nemlig en stor del av NIS2 – og i mine øyne også den viktigste delen.
Schibsted kjøper Chat GPT til nesten alle ansatte
Det er ingen skam å dele sine feil
Med NIS2 blir kravene om rapportering etter et cyberangrep skjerpet – og kravet til at du har det fulle overblikket allerede innen 24 timer.
Innen de første 24 timene skal du ha varslet om at du er rammet av et angrep, og innen 72 timer skal du presentere for de relevante myndighetene at noe har gått galt, hva som har gått galt, samt kunne påvise omfanget av angrepet.
Du må også fortelle hvor i kjeden du befinner deg. Altså om du har vært en transportør av angrepet til andre virksomheter eller organisasjoner – eller om du er de IT-kriminelles endelige mål.
Senest en måned etter må du kunne redegjøre skriftlig for hele hendelsen, med særlig fokus på de økonomiske konsekvensene det kan ha hatt for alle dine samarbeidspartnere, som allerede nå skal være proaktivt informert om hvordan de ligger an, og hvordan det kunne vært unngått.
Fyttirakkern …
Det høres omstendelig ut, og det er det også, men med de riktige forberedelsene og monitorering av ens infrastruktur og data, er det overkommelig. Og kravet om rask og konsekvent rapportering betyr også at et angrep kan stanses og nye angrep forebygges.
Jeg har stor respekt for folk som Inger Sethov og Halvor Molland fra Hydro og for Sven Thaulow fra Schibsted, som alle aktivt forteller om angrepene de har opplevd. IT-kriminelle deler allerede angrepsmetoder, kunnskap om sårbarheter og strategier med hverandre. Det samme må vi, og det kommer NIS2 til å hjelpe oss med.
Undervurdering av NIS2 kan ha alvorlige konsekvenser
