IT-JUSS:
Vil NIS 2 bli som GDPR for digital sikkerhet?
Betydningen av digital sikkerhet kan knapt overdrives i dagens teknologisamfunn. GDPR har satt søkelys på våre rettigheter og sikkerhet knyttet til våre personlige data. For annen digital sikkerhet har regelverket vært mer fragmentert og viet mindre oppmerksomhet. Det er i ferd med å endre seg med ny lovgivning på trappene. Det er på tide å bli kjent med tre nye bokstaver, «NIS».
Da EUs første regelverk for bruk av personopplysninger kom i 1995, skapte dette små krusninger i EU og EØS-stater som Norge. Landene fikk ulik praksis for hvordan direktivet ble fulgt opp, og konsekvensene ved brudd var begrenset.
I 2016 ble EUs personvernforordning, GDPR, vedtatt – med tydelige innstramninger og dramatisk høyere gebyrer for regelbrudd. Resultatet ble endringer i både bedrifter og offentlig sektor – med kursing og nye beskyttelsestiltak for å ivareta personvern. Riset bak speilet i form av potensielt høye bøter førte til at flere tok regelverket på alvor.
Kanskje vil det samme skje for digital sikkerhet neste år? Det såkalte «NIS-direktivet» skulle sørge for et felles og høyere nivå på digital sikkerhet i nettverks- og informasjonssystemer i bestemte tjenestesektorer. For tiden er Norge i ferd med å gjøre NIS-direktivet til norsk lov gjennom digitalsikkerhetsloven. Foreløpig er det store sprik i Europa, med enorme forskjeller på bl.a. gebyrer ved brudd. Men allerede oktober vil et nytt NIS 2-direktiv tre i kraft i EU – og det er i likhet med GDPR ment å være en «oppstrammer», og vil etter alt å dømme bli norsk lov.
Plikten til å varsle ved negative sikkerhetshendelser strammes inn, med en mye strengere prosess ved varsling til relevant myndighet.
Direktivet har to kategorier av aktører som er omfattet av regelverket, vesentlige og viktige enheter, hvor det stilles strengest krav til førstnevnte. Blant vesentlige tjenestetilbydere, kan ditt selskap være omfattet hvis det befatter seg med f.eks. energi, transport, bank, helse, digital infrastruktur og IKT-tjenester. Også offentlig forvaltning er en vesentlig tjeneste. Produsenter av bl.a. visse varer som IKT-utstyr, elektronikk, maskiner og transportutstyr er «viktige» enheter – sammen med tilbydere av digitale tjenester og forskning.
NIS 2 inneholder en detaljert liste med 10 nøkkelelementer for informasjonssikkerhet, som berørte aktører må adressere eller implementere som en del av tiltakene de bruker. Dette gjelder blant annet trening og opplæring for ansatte, sikkerhet i forsyningskjeden, prosedyrer for å ivareta sikkerhet, og effektive løsninger for å avdekke problemer.
Plikten til å varsle ved negative sikkerhetshendelser strammes inn, med en mye strengere prosess ved varsling til relevant myndighet. Dessuten er det lagt opp til mer aktive tilsynsmyndigheter. Myndighetene som passer på vesentlige enheter kan dukke opp uanmeldt for å gjennomføre tilsyn.
Det blir dyrt å trå feil: Avhengig av hva som er høyest, kan vesentlige enheter ilegges gebyr på 10 millioner euro eller 2 % av global omsetning i foregående regnskapsår, mens tilsvarende tall for viktige enheter er opptil 7 millioner euro eller 1,4 %. Er du ekstra uheldig, kan hendelser medføre gebyrer i henhold til GDPR i tillegg til disse.
Det er bare å starte forberedelsene nå, og mange har dessverre ennå ikke fulgt opp sikkerhetskravene i GDPR – hvilket er synbart i de stadig høye gebyrene fra Datatilsynet. Begynn med kartlegging, finn gap mellom hva du har på plass og hva som kreves, og lær opp ansatte innenfor grunnleggende sikkerhet. Be underleverandørene om dokumentasjon på sikkerhet. Forebygging er som kjent billigere enn å reparere.