NIS-direktivet – er din virksomhet klar?

NIS-direktivet ble vedtatt 6. juli 2016 av Europaparlamentet. Målet med direktivt er å oppnå et høyt felles nivå for sikkerhet i nettverk- og informasjonssystem i EU, og dermed styrke det indre markedet. Direktivet har et særskilt fokus på kontinuitet i levering av tjenester. Ut fra direktivet må hvert land vedta en nasjonal lov for nettverk- og informasjonssystemsikkerhet. Regjeringen forbereder implementering av NIS - direktivet. Er din virksomhet klar?

Hva er NIS-direktivet?

Det stilles særlige krav til systematisk informasjonssikkerhetsarbeid, rutiner for risiko og hendelseshåndtering, samt varsling ved alvorlige IKT-sikkerhetshendelser. Videre, skal også et nasjonalt kontaktpunkt opprettes og minst en IKT-beredskapsenhet (Computer Security Incident Response Team – CSIRT).

I desember 2018 publiserte regjeringen NOU 2018:14 – IKT-sikkerhet i alle ledd, sammen med et utkast til lov om sikkerhet i nettverk og informasjonssystemer. Dette presenterer Norges strategi knyttet til IKT-sikkerhet og samfunnskritiske virksomheter. Det er ennå ikke klart når denne loven trer i kraft.

 

Hvem gjelder direktivet?

Dersom din virksomhet er en leverandør av samfunnsviktige tjenester og/eller digitale tjenester omfattas dere av direktivet. Følgende sektorer er identifisert som berørt av direktivet.

  • Energi (elektrisitet, olje og gass)
  • Transport (luft, jernbane, sjø og vei)
  • Helse (helsetjenester)
  • Bank
  • Finansmarkedsinfrastruktur
  • Drikkevannsforsyning og -distribusjon
  • Digital infrastruktur (Internet Exchange Point, Domain Name System og Top-Level Domain)

 

Hva bør din virksomhet gjøre nå?

For å komme i gang med arbeidet med NIS-direktivet foreslår vi tre ting:

  • Etabler hvem som er ansvarlig for implementeringen av NIS og det systematiske informasjonssikkerhetsarbeidet i virksomheten og hvilke roller dere trenger for å lykkes.
  • Dokumentere hvordan dere vurderer og håndterer risikoer.
  • Dokumentere hvordan dere håndterer og rapporterer hendelser.

Hvis dere trenger hjelp eller støtte for å tilpasse deres virksomhet til NIS-direktivet er dere velkommen til å kontakte oss i Watchcom, og vi vil se hvordan vi kan bistå dere. Watchcom er anerkjent for sine erfarne kursholdere innen strategisk informasjonssikkerhetsarbeid, og har lang erfaring med å bistå sine kunder med effektiv systematisering av informasjonssikkerhetsarbeid basert på internasjonale standarder.