Europeiske sikkerhetsreguleringer har endret seg. Pliktene er tydelige, tidslinjen er umiddelbar, og manglende etterlevelse kan få betydelige konsekvenser. Denne guiden forklarer NIS2-kravene og hvordan dere kan oppfylle dem uten å bygge interne sikkerhetsoperasjoner fra bunnen av.
Av Jostein Kirkerød, CTO, Wingmen Norge
_____________________________________________________________________________
I oktober 2024 trådte EUs NIS2-direktiv i kraft. Norge er EØS-medlem og er i ferd med å innarbeide NIS2-kravene i norsk lov, og retningen er tydelig: Virksomheter i kritiske sektorer vil få bindende plikter knyttet til risikostyring innen cybersikkerhet, hendelsesrapportering og sikkerhet i leverandørkjeden.
De fleste IT-ledere og toppledere kjenner til NIS2, men få har satt seg grundig inn i direktivet eller vurdert dagens sikkerhetsnivå opp mot kravene.
NIS2 er ikke et generelt mål om «bedre sikkerhet». Det er et konkret juridisk rammeverk med definerte plikter, tidsfrister og sanksjoner. Å forstå kravene er første steg mot etterlevelse.
Hvilke virksomheter omfattes?
NIS2 gjelder for virksomheter i to kategorier: kritiske og viktige virksomheter. Kritiske virksomheter omfatter sektorer som energi, transport, bank, helse, vann og digital infrastruktur. Viktige virksomheter omfatter blant annet posttjenester, avfallshåndtering, industri/produksjon, matproduksjon og digitale leverandører.
Som hovedregel omfattes virksomheter i disse sektorene med mer enn 50 ansatte eller en årlig omsetning på over 10 millioner euro. Mindre virksomheter i kritiske leverandørkjeder kan også omfattes.
Hvis virksomheten deres opererer i noen av disse sektorene, eller leverer tjenester til virksomheter som gjør det, er det rimelig å anta at NIS2 gjelder for dere. Å vente på formell nasjonal implementering før dere handler, er en risiko – ikke en strategi.
Hva NIS2 konkret krever at dere gjør
Regelverket fastsetter minimumstiltak for sikkerhet som er obligatoriske, ikke valgfrie. Kjerneforpliktelsene fordeler seg på fire områder:
1.Risikostyring og styring: Virksomheten deres må innføre retningslinjer for analyse og håndtering av risiko knyttet til informasjonssikkerhet. Øverste ledelse har ansvar for å godkjenne og følge opp disse tiltakene. Manglende etterlevelse kan medføre personlig ansvar for styremedlemmer og direktører.
2. Hendelsesdeteksjon og hendelseshåndtering: Dere må kunne oppdage sikkerhetshendelser, vurdere hvor alvorlige de er, og håndtere dem på en hensiktsmessig måte. Hvis en hendelse i vesentlig grad påvirker tjenestekontinuiteten, må dere varsle relevant nasjonal myndighet innen 24 timer etter at dere ble kjent med hendelsen, og levere en fullstendig hendelsesrapport innen 72 timer.
3. Forretningskontinuitet: Dere må ha retningslinjer for sikkerhetskopiering, katastrofegjenoppretting og krisehåndtering, slik at virksomheten kan fortsette eller raskt gjenoppta driften etter en sikkerhetshendelse.
4. Sikkerhet i leverandørkjeden: NIS2 utvider forpliktelsene til leverandørene og tjenesteleverandørene deres. Dere er ansvarlige for å vurdere sikkerhetspraksisen deres, særlig for kritiske IT-tjenester.
Delen de fleste virksomheter ennå ikke er klare for
Av de fire områdene over utgjør hendelsesdeteksjon og 24-timerskravet til rapportering det største gapet for de fleste virksomheter.
Å oppfylle dette kravet innebærer å ha kontinuerlig oversikt over miljøet deres. Dere må oppdage hendelser innen få timer etter at et angrep har startet, noe som krever overvåking døgnet rundt av nettverket, endepunkter, e-post, identitetssystemer og skymiljøer.
Å bygge denne kapasiteten internt krever dedikerte sikkerhetsanalytikere, spesialiserte verktøy, løpende opplæring og prosesser for eskalering og rapportering av hendelser til myndighetene. For de fleste norske virksomheter er dette verken praktisk eller kostnadseffektivt.
Et praktisk alternativ er en driftet sikkerhetstjeneste som leverer kontinuerlig overvåking, støttet av sikkerhetsfagfolk på heltid.
Slik ser en driftet sikkerhetstjeneste ut i praksis
En driftet sikkerhetstjeneste tar operativt ansvar for forpliktelsene til deteksjon og respons som NIS2 pålegger. I praksis betyr det:
- Kontinuerlig overvåking av miljøet deres på tvers av telemetrikilder fra nettverk, endepunkter, e-post, identitet og sky.
- Menneskelige analytikere som vurderer og prioriterer varsler, ikke bare automatiserte verktøy som flagger hendelser.
- Trusselintelligens som holder overvåkingen oppdatert, slik at tjenesten responderer på nye angrepsteknikker etter hvert som de oppstår.
- Støtte til hendelsesrapportering, slik at dere har dokumentasjonen og bevisene som trengs for å varsle myndighetene innenfor den påkrevde tidsfristen når en betydelig hendelse inntreffer.
- Jevnlig rådgivning og rapportering, slik at styret har dokumenterte bevis på aktiv sikkerhetsstyring.
Dette er modellen vi leverer i Wingmen Norge gjennom managed Cisco XDR. Som første leverandør i Norge drives vår XDR-tjeneste fra vårt sikkerhetsoperasjonssenter (SOC), utnytter Cisco Talos trusselintelligens og oppdaterer deteksjon kontinuerlig. Når mistenkelig aktivitet oppstår, identifiserer, vurderer og varsler vi dere, og vi leverer nødvendig dokumentasjon for etterlevelse av regelverket.
Tjenesten integrerer Cisco- og ikke-Cisco-sikkerhetsverktøy i én samlet oversikt, slik at dere ikke trenger å erstatte eksisterende infrastruktur for å oppnå innsikt på etterlevelsesnivå.
Et praktisk første steg
Hvis dere er usikre på hvordan sikkerheten deres samsvarer med NIS2, er en administrert vurdering et praktisk første steg. Vi gjennomgår miljøet deres, avdekker gap og anbefaler tiltak, enten i samdrift med teamet deres eller fullt ut driftet av oss.
NIS2 er tydelig på tidsfrister. 24-timersvinduet for hendelsesrapportering starter når dere blir kjent med en hendelse. Hvis overvåkingen ikke gir dere tilstrekkelig tidlig innsikt, er rapporteringsvinduet i praksis tapt.
Snakk med oss om en sikkerhetsvurdering.
Vi kartlegger miljøet deres opp mot NIS2-kravene og anbefaler en praktisk vei videre. Kontakt oss på wingmen.no eller ring +47 32 24 54 00.