Tiltak for et høyt felles nivå av cybersikkerhet i Unionen (NIS2)

NIS2 etablerer krav til hvordan tjenesteleverandører må handle for å forebygge, håndtere og minimere konsekvensene av cyberangrep. Det skisserer også rapporteringsforpliktelser, ansvarsområder for ledelsesorganer og styrkede håndhevingsmekanismer.

Formål: Formålet med NIS2 er å sikre et høyt felles nivå av cybersikkerhet i hele Den europeiske union. NIS2 adresserer den fragmenterte implementeringen av NIS1-direktivet, og søker å øke cybermotstandsdyktigheten på tvers av EU-medlemsstatene ved å implementere enhetlige krav til sikkerhetstiltak.

Omfang: NIS2 gjelder for tjenesteleverandører på tvers av et bredt spekter av sektorer. Enheter klassifiseres som enten «vesentlige» eller «viktige» basert på deres størrelse, hvilken bransje de opererer i og kritikalitetsnivå. Denne klassifiseringen påvirker nivået av sanksjoner og tilsyn de står overfor. Energi, bank, digital infrastruktur or IKT-tjenester er eksempler på sektorer som er definert som vesentlige tjenesteleverandører. Viktige tjenester omfatter blant annet tilbydere av digitale tjenester og produksjon av IKT-utstyr, elektronikk og transportutstyr.

Viktige forpliktelser: Et hovedelement i NIS2 er implementeringen av mekanismer for å sikre sikkerheten og motstandsdyktigheten til nettverk- og informasjonssystemer som brukes til tjenestelevering i kritiske sektorer. For å oppnå dette, krever NIS 2at enheter implementerer tilstrekkelige tekniske, operasjonelle og organisatoriske tiltak for å håndtere og redusere risikoer forbundet med nettverk- og informasjonssystemer. Det stilles herunder blant annet krav til håndtering av cybersikkerhetsrisiko i leverandørkjeden, vedlikehold og overvåkning. I tillegg oppstiller NIS2 rapporteringsforpliktelser, ansvarsområder for ledelsesorganer og styrkede håndhevingsmekanismer.

Korte fakta
  • Europaparlaments- og rådsdirektiv (EU) 2022/2555 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS2) (EUR-Lex – 02022L2555-20221227 – EN – EUR-Lex)
  • 17 Oktober 2024 i EU
  • EØS-relevant, og vil trolig implementeres i norsk rett