• Sist søkt
  1. Home
  2. Industrier og applikasjoner
  3. Industrial Security
  4. Cyber Security – direktiv: NIS 2

NIS 2

For å sette standarden for Cyber Security i EU plikter bedrifter fra forskjellige sektorer å bekrefte sine sikkerhetsstrategier. Nedtellingen er i gang, og det er på tide å forberede seg i fellesskap!
Nettorganisert globus med sikkerhetslås

Fra 18. oktober 2024 blir det nye cybersikkerhetsdirektivet til EU – NIS 2 – plikt. Denne bindende bestemmelsen setter standarden for Cyber Security i hele EU og tvinger bedrifter fra forskjellige sektorer til å bekrefte sin Security-strategi.

Nedtellingen er i gang, og bedrifter oppfordres til handling.
Let’s get prepared together!

Hva er NIS 2?

Med NIS 2 (Network and Information Security Directive) har EU innført strenge Cyber Security-forskrifter for sine medlemsland. NIS 2 er etterfølgeren til NIS-direktivet, som trådte i kraft allerede i 2016. Implementering av en helhetlig Security-strategi er med dette ikke bare nødvendig for å beskytte mot cyberangrep, men også rettslig obligatorisk.

Innen 17. oktober 2024 må medlemslandene la de nødvendige tiltakene for overholdelse av NIS-2-direktivet tre i kraft, og fra 18. oktober 2024 må de omsette disse tiltakene.

Forskjeller mellom NIS 1 og NIS 2

Hva er forskjellene mellom NIS 1 og NIS 2?

NIS 2 er en forbedret versjon av NIS-direktivet fra 2016 som allerede skulle sørge for et høyt sikkerhetsnivå for nettverks- og informasjonssystemer i unionen, men som utviste enkelte svake punkter.

De viktigste forskjellene mellom NIS 1 og NIS 2 er som følger:

  • Den nye versjonen omfatter flere sektorer og bedrifter som er uunnværlige for samfunn og økonomi, for eksempel energi, helsevesen, trafikksystem og digital infrastruktur.

  • NIS 2 oppfordrer berørte bedrifter til å føre en effektiv risikostyring og melde alle alvorlige eller signifikante cyberhendelser inn til ansvarlige nasjonale instanser, som deretter kan iverksette nødvendige tiltak. NIS 1 inneholdt bare generelle instrukser i forbindelse med sikkerhetstiltak og innmelding av hendelser.

  • Det nye Security-direktivet innebærer strengere sanksjoner for medlemslandene og som kan utgjøre opptil 20 mill. euro eller fire prosent av den globale omsetningen, dersom de berørte bedriftene og organisasjonene ikke implementerer de nødvendige sikkerhetstiltakene eller ikke rapporterer alvorlige eller signifikante cyberhendelser inn til ansvarlige nasjonale instanser. NIS 1 overlot definisjonen av sanksjonene til medlemslandene, noe som førte til en ikke-enhetlig håndtering.

  • NIS 2 understreker managementets personlige ansvar for Cyber Security, og spesifiserer at daglige ledere nå også står ansvarlige med privat formue dersom de ikke overholder de lovbestemte forskriftene.

Målgruppe for NIS 2

Hvem berøres av den?

  1. oktober 2024 – dette er dagen da samtlige 27 EU-land må ha lagt inn NIS-2-Cyber-sikkerhetsforskriftene sømløst i sine respektive nasjonale lovgivninger. Men det presserende spørsmålet består: Hvilke bedrifter plikter å implementere NIS-2-direktivet?

Vesentlige institusjoner: Dette er organisasjoner som er aktive på området for de kritiske infrastrukturene. Dette omfatter blant annet energi, transport, vannbehandling, helsevesen og bankvesen.

Viktige institusjoner: Denne kategorien omfatter ledende bedrifter i næringsmiddel- og kjemiindustrien som er ansvarlige for produksjon av elektrisk utstyr, maskiner og kjøretøyer.

Videre har medlemslandene selv muligheten til å utvide de berørte målgruppene i NIS 2. De kan legge ytterligere institusjoner til sine nasjonale lister og på den måten i enda større grad forplikte lokale myndigheter, opplæringsinstitusjoner og flere, til å omsette direktivene.

Reminder rundt NIS 2

Hvilke straffer finnes det?

NIS-2-direktivet gjennomføres strengt, dette omfatter høye bøter dersom meldeplikten ikke overholdes eller ikke oppfylles. Bøtenes omfang er avhengig av klassifiseringen av de enkelte bedriftene.

Bedrifter som klassifiseres som "viktig" må betale bøter på 7 mill. euro eller maksimalt 1,4 % av den totale, globale årsomsetningen fra forutgående forretningsår. For "vesentlige bedrifter" truer mulkter opptil 10 mill. euro eller maksimalt 2 % av total, global årsomsetning.

Aktsomhetsplikten på området Cyber Security er ufravikelig og øverste ledelsesnivå plikter å lede implementering og overvåking av disse Cyber Security-tiltakene.

Hva innebærer det konkret for deg?

NIS-2-direktivet er et EU-direktiv som trådte i kraft 16. januar 2023 og som er ment å forbedre Cyber Security og cyber-motstandsdyktigheten i kritiske infrastrukturer og hos digitale tjenesteytere. Direktivet forplikter berørte bedrifter og organisasjoner til å forholde seg til en effektiv risikostyring og melde alle alvorlige eller signifikante cyberhendelser inn til ansvarlige nasjonale instanser, som deretter kan iverksette nødvendige tiltak. For å holde potensielle skader for brukere, miljøet og offentlig orden, på et minimum, er målet å gjenkjenne sikkerhetshull i tide og aktivt forebygge og motvirke konsekvenser. For å sikre at samtlige delaktige overholder de samme, høye standardene er bedriftene i tillegg ansvarlige for å sørge for sikkerheten gjennom hele leveransekjeden og videreføre kravene til sine respektive forretningspartnere og leverandører. De ytterligere tiltakene omfatter blant annet:

  • Implementering av adekvate og forholdsmessige sikkerhetstiltak som er i samsvar med relevante standarder og velkjent praksis for å sørge for fortrolighet, integritet, tilgjengelighet og autentisitet for deres data og tjenester.

  • Utforming og oppdatering av en Business-Continuity-Plan som gjør det mulig å gjenopprette normale driftsbetingelser etter en cyberhendelse.

  • For å forhindre uberettiget tilgang: Innføring av en multi-faktor-autentifisering for tilgang til deres nettverk og informasjonssystemer.

Den europeiske unions cybersikkerhetsbyrå (European Network and Information Security Agency, ENISA) vil overta en avgjørende rolle ved kontroll og støtte rundt anvendelse av disse rettshandlingene.

NIS 2 – Manufacturer‘s obligations
Oversikt over alle fakta
Din omfattende guide til Cyber Resilience Act

Be om vår White paper "The Cyber Resilience Act - The Future of Cyber Security for Digital Products" for å få en oversikt over all viktig informasjon om CRA. Dokumentet inneholder alle de viktigste faktaene om EU-forordningen og gir også et innblikk i hvordan vi i Phoenix Contact oppfyller kravene i CRA.

Last ned White paper nå
Nettorganisert verden med sikkerhetslås

Tidsplan for NIS 2

NIS-2-direktivet trådte i kraft 16. januar 2023 og må være implementert som en nasjonal rett innen 17. oktober 2024. Implementeringen av direktivet kontrolleres av kommisjonen pr. 17. oktober 2027, deretter etter henholdsvis 36 måneder.

Det er på tide å handle og forberede seg.

Tidslinje NIS 2

NIS 2 trådte i kraft allerede 16. januar 2023

360°-Security-kretsløp

Vårt komplette 360°-Security-konsept

360° Security – vårt komplette tilbud uten kompromisser

I den dynamiske verden til Cyber Security er endringen konstant, og innføringen av NIS-2-direktivet fremhever dette faktumet. Mens vi venter på at direktivet blir omsatt til en nasjonal lov før den kan utfolde sin fulle virkning, er en trengende hast for å iverksette tiltak, ubestridelig.

For å imøtekomme de strenge kravene i NIS 2 må vi støtte oss på europeiske og internasjonale standarder, som danner fundamentet vårt. Disse standardene definerer ikke bare sikre produkter, de fastsetter også prinsippene for implementering av motstandsdyktige Security-systemer. Et utmerket eksempel er IEC 62443, som er en globalt anerkjent standardserie for sikkerhet innen automatisering. Vårt helhetlige 360°-sikkerhetskonsept omfatter både tekniske og organisatoriske tiltak, sikret gjennom tilhørende IEC 62443-sertifiseringer.

Mer informasjon om 360°-Security-konseptet