I begynnelsen av mai la regjeringen frem forslag til digitalsikkerhetslov. Lovforslaget følger opp stortingsmeldingen om nasjonal kontroll og digital motstandskraft fra desember 2022. Dermed ligger det nå an til at NIS-direktivet fra EU implementeres i norsk rett.
Direktivet og loven
NIS2-direktivet er en videreføring og utvidelse av det opprinnelige NIS-direktivet fra 2016, og ble vedtatt av EU i november 2022. Selve direktivet er så langt ikke tatt inn i forslaget til digitalsikkerhetslov. Det legges opp til at direktivet implementeres gjennom endringer i digitalsikkerhetsloven når det tas inn i EØS-avtalen.
NIS og NIS2-direktivet skal styrke Europas evne til å identifisere og håndtere cybersikkerhetsrisikoer. Direktivet gir en ramme for cybersertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser, og følges opp av Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA). Slik skal direktivet bidra til å sikre at EUs indre marked, og dermed også Norges tilknytning gjennom EØS, fungerer på tilfredsstillende måte.
Gjennom direktivet forpliktes virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser.
Hvem omfattes?
NIS2-direktivets virkeområde er utvidet ved å legge til sektorer som ikke var omfattet i det opprinnelige NIS-direktivet. I tillegg til energi, transport, bank og helsevesen som var omfattet av direktivet fra 2016, inkluderer NIS2-direktivet også vann og avløp, digital infrastruktur, posttjenester og næringsmiddelindustri.
Videre innfører man en terskel på størrelse, slik at alle mellomstore og store virksomheter i de utvalgte sektorene omfattes. Skillet mellom tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester videreføres ikke.
Kategorisering og klassifisering
NIS2-direktivet skiller disse virksomhetene i to kategorier. Det første kategorien omfatter tilbydere av samfunnsviktige tjenester innenfor samfunnssektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Den andre kategorien omfatter tilbydere av digitale tjenester, nærmere bestemt nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.
Virksomheter blir klassifisert som henholdsvis grunnleggende og viktige, og underlagt forskjellige tilsynsregimer. NIS2-direktivet styrker sikkerhetskravene til tilbyderne med en minimumsliste over grunntiltak som må anvendes, og virksomhetene må gjennomføre risikovurderinger og implementere passende sikkerhetstiltak for å håndtere identifisert risiko. I tillegg adresseres sikkerheten i forsyningskjeder og leverandørforhold.
Rammeverk for sertifisering
NIS2-direktivet inkluderer et nytt EU-rammeverk for cybersikkerhetssertifisering. Dette rammeverket skal gi felles kriterier for cybersikkerhetssertifisering over hele EU, noe som vil gjøre det enklere for samfunnsviktige tjenester og tilbydere av digitale tjenester å vise overholdelse av direktivet og andre relevante cybersikkerhetsstandarder.
Videre utvides bestemmelsene for varsling av hendelser med en 24 timers frist – inkludert felleseuropeisk rapportering til ENISA.