Gjestekommentar: Kristian Foss, partner og advokat i Bull & Co Advokatfirma
EU har vedtatt NIS 2-direktivet, som trer i kraft for medlemslandene 18. oktober 2024. Formålet er å styrke cybersikkerheten ved å stille sikkerhetskrav til en rekke viktige virksomheter. For norske virksomheter er det viktig å merke seg at NIS 2-direktivet inneholder flere strenge tiltak som kan få stor betydning for både ledelse og drift.
En av de mest drastiske endringene i NIS 2 er at tilsynsmyndigheter får makt til å midlertidig fjerne ledelsen i virksomheter som ikke overholder sikkerhetskravene. I tillegg kan virksomhetens aktiviteter stoppes midlertidig, noe som kan få alvorlige økonomiske konsekvenser. Manglende etterlevelse kan også føre til at styret og ledelsen får et personlig ansvar for konsekvensene av sikkerhetsbruddet.
NIS 2 vil omfatte mange flere virksomheter enn tidligere. Næringer som energi, transport, helse, finans og IT vil være særlig berørt. Sanksjonene for brudd er også betydelig skjerpet, med bøter på opptil 2 prosent av årlig konsernomsetning eller 10 millioner euro, avhengig av hva som er høyest.
Direktivet krever også at virksomheter sikrer hele sin leverandørkjede, noe som inkluderer alle aktører som virksomheten samarbeider med. Rapporteringen av sikkerhetshendelser og trusler skjerpes, med strenge tidsfrister for varsling. Videre må også toppledelsen gjennomgå cybersikkerhetsopplæring, som en del av deres forpliktelser under direktivet.
For å unngå de strenge sanksjonene og risikoen for personlig ansvar, er det avgjørende at virksomheter begynner å jobbe strukturert med cybersikkerhet straks
Norge ligger etter på implementeringen av NIS-direktivene. Digitalsikkerhetsloven, som skal implementere det opprinnelige NIS 1-direktivet fra 2016, forventes å tre i kraft tidligst i 2024, hele åtte år etter at det ble vedtatt av EU. Før loven trer i kraft, skal en høringsrunde for tilknyttede forskrifter gjennomføres, som vi erfarer vil skje i september eller oktober i år. Det vil i tillegg bli en separat høring for NIS 2-direktivet.
Nasjonal sikkerhetsmyndighet (NSM) forventes å bli tilsynsmyndighet i Norge for å påse etterlevelse av direktivene.
For norske virksomheter er det viktig å begynne forberedelsene nå. Cybersikkerhet er ikke bare et teknisk spørsmål, men handler også om styring og organisatoriske tiltak. Virksomheter må vurdere sine eksisterende sikkerhetsprosedyrer, implementere nødvendige endringer, og sikre at alle ledd i organisasjonen, spesielt ledelse og styret, er godt informert og opplært om de nye kravene.
For å unngå de strenge sanksjonene og risikoen for personlig ansvar, er det avgjørende at virksomheter begynner å jobbe strukturert med cybersikkerhet straks. NIS 2 stiller høye krav, men det gir også et rammeverk som kan bidra til å styrke organisasjonens motstandsdyktighet mot cybertrusler betydelig, noe som bør være hovedmotivasjonen. I tillegg vil krav fra EU-baserte selskaper som skal sikre sin verdikjede komme.
Med dette direktivet setter EU en ny standard for generelle krav til cybersikkerhet som kan bidra til å beskytte både økonomiske interesser og samfunnskritiske funksjoner i en stadig mer digitalisert verden.
Kristian Foss
Partner og advokat i Bull & Co Advokatfirma