Estimater viser at 150.000 virksomheter vil bli berørt av NIS2-direktivet i 2024.
NIS2-direktivet, også kjent som den nye versjonen av nettverks- og informasjonssikkerhetsdirektivet, er et europeisk direktiv som tar sikte på å styrke cybersikkerheten i EU. Direktivet er utformet for å hjelpe organisasjoner med å beskytte seg mot cybertrusler og for å sikre at EUs cyberinfrastruktur er sikrere og robustere. Nå som direktivet endelig er offisielt publisert, har medlemslandene frem til oktober 2024 for å integrere bestemmelsene i direktivet i lokal lovgivning. Prøv vår NIS2-test for å se om virksomheten din vil bli påvirket.
Mange bedrifter må etterleve dette nye regelverket og vi har sett på noen av de nye kravene som kommer:
- Risikovurdering av Cybersikkerhet og sikkerhetspolicyer for informasjonssystemer.
- Policyer og prosedyrer for å evaluere effektiviteten av sikkerhetstiltak.
- Policyer og prosedyrer for bruk av kryptografi og, ved behov, kryptering.
- En plan for håndtering av sikkerhetshendelser.
- Sikkerhet ved anskaffelse av systemer og utvikling og drift av systemer. Dette innebærer å ha policyer for håndtering og rapportering av sårbarheter.
- Opplæring relatert til cybersikkerhet og rutiner for grunnleggende datasikkerhet.
- Sikkerhetsprosedyrer for ansatte med tilgang til sensitiv eller viktig data, inkludert policyer for tilgang til data. Berørte organisasjoner må også ha en oversikt over alle relevante ressurser og sikre at de blir riktig brukt og håndtert.
- En plan for å håndtere forretningsdrift under og etter en sikkerhetshendelse. Dette innebærer at sikkerhetskopier må være oppdaterte. Det må også være en plan for å sikre tilgang til IT-systemer og deres driftsfunksjoner under og etter en sikkerhetshendelse.
- Bruk av flerfaktorautentisering, løsninger for kontinuerlig autentisering, stemme-, video- og tekstkryptering, samt kryptert intern nød-kommunikasjon, når det er hensiktsmessig.
- Sikkerhet i leverandørkjeder og forholdet mellom selskapet og direkte leverandør. Selskaper må velge sikkerhetstiltak som passer til sårbarhetene til hver direkte leverandør. Deretter må selskaper vurdere det generelle sikkerhetsnivået for alle leverandører."
