<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">

Synes du GDPR var vanskelig? Nå kommer NIS2!

Når norske bedrifter endelig har fått grepet rundt GDPR, kommer EU med et nytt regelverk, advarer Michael Jacobs i Crayon.

Publisert 15. mai 2024 kl. 19.33
Lesetid: 3 minutter
Artikkellengde er 532 ord
ORGANISERT DATAKRIMINALITET: Særlig russiske hackere har trappet opp aktiviteten mot vestlige interesser. NIS2 krever at bedrifter må gjennomføre regelmessige risikovurderinger og kontinuerlig trene sine kriseresponsteam. Foto: NTB

Gjestekommentar: Michael Jacobs, leder for Crayon Norden

Samfunnssikkerhet er et av dette tiårets store utfordringer. En ting er den militære trusselen som har gjenoppstått i Europa, men også for bedriftsledere er sikkerhet høyaktuelt. For vestlige bedrifter og organisasjoner er cyberangrep og andre sikkerhetsbrudd den største trusselen. Slike angrep kan ha katastrofale konsekvenser; alt fra samfunnskritiske funksjoner som vann og strøm som kan bli slått ut, til bedriftshemmeligheter som kan komme på avveie.

Michael Jacobs. Foto: Atea

Denne trusselen er i større og større grad i ferd med å gå opp for norske og europeiske myndigheter. Som et svar på dette har EU utarbeidet Network Information Security 2 (NIS2).

Direktivet, som trer i kraft i oktober, innebærer en betydelig skjerping av cybersikkerheten. Dette er en stor oppgradering fra det opprinnelige NIS-direktivet, og introduserer strengere reguleringer for hvordan bedrifter skal sikre, dokumentere og validere sikker datatrafikk, selv når det involverer flere leverandører. Direktivet vil bli innført og etterlevd for alle EU-land fra og med oktober i år, og vil treffe norske virksomheter som handler med EU.

Konkret innebærer NIS2 at bedrifter må gjennomføre regelmessige risikovurderinger og kontinuerlig trene sine kriseresponsteam. Samtidig er det et krav om å følge strenge rapporteringsprotokoller.

Under NIS2 kan bøtene være så høye som 10 millioner euro eller 2 prosent av den globale årlige omsetningen

Med NIS2 vil også et større antall sektorer og virksomheter inkluderes under direktivets paraply. Direktivet gjelder nå for alle selskaper med over 50 ansatte og årlig omsetning på 10 millioner euro, eller selskaper EU anser som essensielle for den europeiske økonomien og samfunnet.

På samme måte som under GDPR, kan brudd på direktivet føre til betydelige bøter. Under NIS2 kan bøtene være så høye som 10 millioner euro eller 2 prosent av den globale årlige omsetningen, avhengig av hvilket beløp som er størst.

NIS2 er likevel mer enn en juridisk forpliktelse, det er en god forsikring mot cyberangrep enhver bedrift burde ha på plass. Med stadig mer sofistikerte trusler og hackere er behovet for cybersikkerhet viktigere enn noensinne. Implementering av robuste tiltak øker dessuten en bedrifts motstandsdyktighet mot cybertrusler. Dette betyr ikke bare forbedret sikkerhet, men også en styrking av bedriftens evne til å opprettholde operasjoner under og etter et angrep.

Ut over å være en god forsikring mot cyberangrep, kan etterlevelse av NIS2 også være et konkurransefortrinn for de som er tidlig ute. For norske bedrifter gir overholdelse av NIS enklere tilgang til det europeiske markedet, ettersom det blir forventet at også leverandører har dette på plass.

Sist gang et EU-direktiv fikk norske styrerom til å sette kaffen i halsen, var i 2018 ved innføringen av GDPR. Store ressurser gikk til å sikre personvernopplysninger. Men som med GDPR, gjelder det å bruke NIS2 som en mulighet. Anse det gjerne som hjelp til selvhjelp.

NIS2 fungerer som et kvalitetsstempel for bedrifters cybersikkerhetspraksis. I et stadig mer konkurransepreget marked kan dette kvalitetsstempelet skille klinten fra hveten.

Michael Jacobs

Leder for Crayon Norden