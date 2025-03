NSM viser i sin risikorapport fra 2025 at angrepsmetoden i økende grad rettes mot små og mellomstore bedrifter. Forklaringen er at selv om bedriftene ikke forvalter samfunnsviktige funksjoner, kan angrepene likevel få alvorlige konsekvenser dersom bedriftene har informasjon om kundeforhold, leveranser eller leverandørkjeder som kan være attraktive å selge. Dermed er leverandørkjeder blitt attraktive mål, fordi leverandører kan ha informasjon knyttet til nasjonale verdier, som kan kjøpes av kriminelle aktører eller utenlandske etterretningstjenester. Samtidig er også produksjonsfabrikker som ikke er knyttet til nasjonale verdier blitt et stadig hetere mål for hackere som krever ransomware. Det har blitt en enkel måte for hackerne å tjene raske penger.

Cyberangrep kan ha store konsekvenser for bedrifter

Først og fremst kan cyberangrep medførenedetid, produksjonsstopp, tap av kundedata, konfidensiell informasjon og patenter, samt tapt omdømme. En bedrift med et svakt sikkerhetssystem kan føre til tap av kundetillit, og en bedrift som ikke er rustet mot slike angrep, vil kunne bli en mindre attraktiv samarbeidspartner for andre næringslivsaktører eller offentlige aktører.

I verste fall medfører cyberangrep betydelige økonomisk tap, og det kan få ringvirkninger og prege flere aktører og viktige samfunnsfunksjoner. Det er tidkrevende å bygge opp nye sikkerhetssystemer, og det kan ta lang tid før en kan friskmelde seg etter et dataangrep. Vi ser at de bedriftene som har tegnet cyberforsikring er raskere oppe og går etter et dataangrep.

EU skjerper kravene til digital sikkerhet gjennom NIS2 og DORA

På bakgrunn av den økte cybertrusselen, har også fokuset på regulering og lovgivning økt. På kort tid har vi gjennomgått en betydelig utvikling av cyberlovgivning – fra en beskjeden«soft law»-regulering, til det omfattende juridiske rammeverket vi ser i dag.

NIS2-direktivet trådte i kraft i oktober 2024 for EU-landene. Direktivet utvider omfanget av sektorer som omfattes av direktivet til et bredt spekter av samfunnsviktige og -kritiske bedrifter, og stiller strengere krav til risikostyring og rapportering av sikkerhetshendelser. Direktivet adresserer også utfordringene med å drive grenseoverskridende virksomhet, og stiller skjerpende krav til harmoniserte regler blant medlemslandene.

Få måneder etter, i januar 2025, trådte DORA-forordningen i kraft. Forordningen fastsetter IKT-relaterte krav for finanssektoren, og stiller krav til testing av digitale systemer, styring avtredjepartsrisiko og rapportering av hendelser. Formålet med forordningen er å sikre at finanssektoren kan opprettholde kontinuitet og stabilitet selv under cyberangrep eller tekniske feil.

Arbeidet med implementeringen til norsk rett er i gang, men for de finansaktørene som driver grenseoverskridende virksomhet, er det allerede krav om å være compliant. Mens NIS2 har et generelt virkeområde, er DORA avgrenset til finanssektoren, fra kredittvurderingsbyråer til investeringsforetak. I Norge er det for øvrig foreslått å utvide forordningens virkeområde slik at den i tillegg omfatter finansieringsforetak, låneformidlingsforetak, inkassoforetak, eiendomsmeglingsforetak og morselskap i finanskonsern.

EUs nye lovgivning i form av NIS2 og DORA skjerper de grunnleggende kravene til virksomheters IKT-sikkerhetog pålegger nå flere virksomheter å ha robuste datasystemer. Kravene til risikostyring, rapportering og tilsyn skjerpes, og myndighetene gis utvidede sanksjonsmuligheter ved brudd på regelverket.Du er ikke compliant med DORA selv om du er compliant med IKT-forskriften.

Innføring av NIS2 og DORA i Norge

I løpet av 2025 vil trolig den nye digitalsikkerhetsloven, som bygger på NIS1, og inkluderer elementer fra NIS2, tre i kraft i Norge. Loven har som mål å styrke landets evne til å håndtere digitale trusler og beskytte kritisk infrastruktur. Loven pålegger virksomheter å implementere nødvendige sikkerhetstiltak for å beskytte sine digitale systemer og data. Den krever også at virksomheter rapporterer alvorlige sikkerhetshendelser til relevante myndigheter, slik at det kan iverksettes nødvendige tiltak for å begrense skadeomfanget.

DORA ble innlemmet i EØS-avtalen i februar, og kan trolig tre i kraft i norsk rett i løpet av 2025. Forordningen vil i så fall implementeres i ny lov om digital operasjonell motstandsdyktighet i finanssektoren.Denye lovene representerer en omfattende innsats for å styrke digital sikkerhet og motstandskraft i Norge og EU.

Økende behov for cyberforsikring

For å imøtekomme de nye kravene til digital motstandsdyktighet bør bedrifter gjennomføre en grundig risikoanalyse og styrke relevante sikkerhetstiltak. Det er viktig at bedrifter øker bevisstheten om cybersikkerhet internt i organisasjonen, og har en plan for hendelseshåndtering og hurtig respons ved et cyberangrep. Videre må de ulike virksomhetene nå sørge for at de oppfyller kravene i NIS2 og DORA, dersom de omfattes av disse.

Forsikringsnæringen tilbyr et digitalt gratis verktøy, en cybersikkerhetsvurdering. Med dette sikkerhetsverktøyet kan bedrifter selv sjekke hvor godt rustet virksomheten er i sitt arbeid med cybersikkerhet. Tjenesten er gratis og kan være til god hjelp for bedrifter med å forebygge dataangrep og følgelig styrke sin cybersikkerhet.

Med økende cybertrusler og skjerpende krav fra lovgiverne, ser vi og en klar økning i etterspørselen etter cyberforsikring, også kalt datakriminalitetsforsikring. En cyberforsikring fungerer som et sikkerhetsnett for bedrifter ved at det er dekning både for eksperthjelp til å begrense skadene,og erstatning. Det kan innebære dekning av driftstap ved dataangrep, kostnader til juridisk bistand, krav fra tredjeparter, utgifter til pålegg fra myndigheter samt rekonstruksjon av data.

Dersom bedrifter ikke har implementert eller ikke holder sikkerhetssystemene oppdatert, kan forsikringsforetak nekte å dekke skader bedriften lider som følge av et cyberangrep. Dette kan også være tilfellet der virksomheter blir ilagt bøter og avgifter for å ikke være compliant med regelverk som NIS2 og DORA. Vi anbefaler derfor at bedriftene setter seg godt inn i vilkårene for en cyberforsikring før den tegnes.

Oppsummering

Et økt EU-fokus på digital sikkerhet og innføringen av NIS2 og DORA innebærer strengere krav til risikostyring, rapportering og tilsyn, samt økte sanksjonsmuligheter ved manglende etterlevelse.

For bedrifter som omfattes av reguleringen, er det viktig å forstå hvilke krav som gjelder for dem og når de trer i kraft. Brudd på reglene kan føre til betydelige overtredelsesgebyrer. Selv om NIS2 og DORA ikke har trådt i kraft i Norge ennå, må norske virksomheter som opererer i det europeiske markedet, eller som leverer digitale varer eller tjenester til aktører som omfattes, allerede nå forholde seg til EU-reglene.

Bedrifter bør følgelig begynne å planlegge for de kommende kravene allerede nå, og søke juridisk råd dersom man er usikker på om bedriften er omfattet, eller hvordan kravene skal operasjonaliseres. Det bør også tas stilling til behovet for eventuell cyberforsikring, som kan dekke økonomiske tap og juridiske kostnader ved cyberangrep.