Frist for implementering av NIS2 i EU-landene og vedtakelse av ny implementeringsforordning
Den 17. oktober 2024 – samme dag som fristen for å implementere NIS2-direktivet i EU-landenes nasjonale rett – har EU-kommisjonen vedtatt en implementeringsforordning til NIS2-direktivet vedrørende cybersikkerhetsrisikostyring og -varslingsforpliktelser for leverandører innen digital infrastruktur og digitale tjenester. Implementeringsforordningen trer i kraft på den tjuende dagen etter kunngjøring i Den europeiske unions tidende og vil i sin helhet være bindende og får direkte anvendelse i alle EU-landene.
Nærmere bestemt gjelder forordningen for leverandører av DNS-tjenester, TLD-navneregisterenheter, leverandører av skytjenester, leverandører av datasentertjenester, leverandører av innholdsleveringsnettverk, leverandører av administrerte tjenester, leverandører av administrerte sikkerhetstjenester, leverandører av markedsplasser på nettet, av søkemotorer på nettet og av plattformer for sosiale nettverkstjenester, samt leverandører av tillitstjenester.
Implementeringsforordningen fastslår de tekniske og metodologiske kravene til tiltakene som følger av NIS2-direktivet artikkel 21(2) (risikostyringstiltak for cybersikkerhet), samt ytterligere spesifisering av tilfeller der en hendelse skal anses som betydelig etter NIS2 artikkel 23(3). I tillegg har implementeringsforordningen et anneks med utfyllende og mer detaljerte bestemmelser om hvilke krav som stilles til risikostyringstiltak for cybersikkerhet.
Forslag til forskrift til digitalsikkerhetsloven – implementering av nærmere krav etter NIS1
Vi har tidligere omtalt det norske arbeidet med implementeringen av NIS1-direktivet gjennom den nye digitalsikkerhetsloven. Den 11. september sendte Justis- og beredskapsdepartementet på høring forslag til forskrift til digitalsikkerhetsloven. Forskriften skal utfylle og presisere bestemmelser i digitalsikkerhetsloven. Forskriftsforslaget skal implementere kravene etter NIS1. I forslaget angir imidlertid departementet at der det er hensiktsmessig, har departementet allerede forsøkt å tilnærme seg kravene i NIS2-direktivet, med henvisning særlig til forslag til § 15 om varslingsplikt.
Blant annet inneholder forskriftsforslaget nærmere bestemmelser om:
- Virkeområdet for tilbydere av samfunnsviktige tjenester, herunder hvilke virksomheter som unntas virkeområdet
- Adgang til å treffe enkeltvedtak om at andre tilbydere også skal underlegges regelverket
- Krav til digitalsikkerhet for tilbydere av samfunnsviktige tjenester, herunder krav til styringssystem for sikkerhet, risikovurderinger, risikohåndtering og organisatoriske, teknologiske og fysiske sikkerhetstiltak.
- Krav til digital sikkerhet for tilbydere av digitale tjenester
- Varslingsplikt
- Deling av taushetsbelagt informasjon
- Nasjonalt kontaktpunkt for sikkerhet i nettverk og informasjonssystemer
- Tilsyn, opplysningsplikt og tilgang til lokaler
- Overtredelsesgebyr, herunder utmåling av gebyr på opptil 25 ganger grunnbeløpet eller, dersom det dreier seg om et foretak, på opptil 4 prosent av den samlede årsomsetningen i det forutgående regnskapsår (høyeste beløp anvendes)
Høringsfristen er 11. desember 2024.
Status for arbeidet med NIS2 i Norge
I høringsnotatet til digitalsikkerhetsforskrift opplyser Justis- og beredskapsdepartementet om at det for tiden pågår et arbeid med å utarbeide et utkast til høringsnotat med nødvendige regelverksendringer for gjennomføring av NIS2-direktivet i norsk rett. Samtidig er ikke NIS2-direktivet ennå formelt inntatt i EØS-avtalen. Det ser dermed ut til at på norsk side vil fokuset i den nærmeste fremtid være på implementeringen av NIS1, nærmere bestemt kravene etter digitalsikkerhetsloven og digitalsikkerhetsforskriften. Norske virksomheter bør imidlertid også starte å forberede seg på NIS2-kravene. Som departementet signaliserer i høringsnotatet, vil det – såfremt NIS2-direktivet tas inn i EØS-avtalen – bli behov for revisjon av digitalsikkerhetsloven, den foreslåtte nye digitalsikkerhetsforskriften og eventuell annen lovgivning for å hensynta NIS2-direktivets skjerpede krav og utvidede virkeområde sammenlignet med NIS1-direktivet.