What is the difference between essential and important entities in NIS2?

Essential entities operate in sectors of high criticality (Annex I) like energy, transport, and healthcare, while important entities operate in other critical sectors (Annex II). Both have the same obligations, but essential entities face stricter supervision and higher penalties.

What are the NIS2 incident reporting deadlines?

NIS2 requires a 24-hour early warning, a 72-hour full notification, and a final report within 1 month of becoming aware of a significant incident.

Does NIS2 require supply chain security?

Yes, Article 21(2)(d) requires both essential and important entities to implement supply chain security measures, including assessing critical suppliers cybersecurity posture.

NIS2

Direktiv 2 om nettverks- og informasjonssikkerhet

Fordi NIS1 tilsynelatende ikke var nok til å stanse bølgen av løsepengevirus

NIS2 er EUs oppdaterte direktiv om cybersikkerhet, som erstatter det opprinnelige NIS-direktivet. Det utvider omfanget av organisasjoner som må ta cybersikkerhet på alvor betydelig – fra energi og transport til helsetjenester, digital infrastruktur og til og med matproduksjon. Hvis din organisasjon er avgjørende eller viktig for samfunnet, har NIS2 noe å si til deg.

Omfang

Mellomstore og store enheter i 18 kritiske sektorer (vedlegg I og II). Medlemsstatene kan også inkludere mindre enheter dersom disse anses som kritiske. Direktivet skiller mellom to kategorier: essensielle enheter (strengere tilsyn) og viktige enheter (mindre inngripende, men fortsatt obligatorisk).

Geografisk rekkevidde

Et EU-direktiv – hver medlemsstat innfører det i sin nasjonale lovgivning, så den konkrete gjennomføringen varierer. Men de sentrale forpliktelsene er de samme i hele EU.

Gjeldende fra

18. oktober 2024 (Frist for medlemsstatenes gjennomføring: 17. oktober 2024)

Formål

Å oppnå et høyt felles nivå av cybersikkerhet i hele EU. Det opprinnelige NIS-direktivet var ujevnt – ulike land gjennomførte det på forskjellige måter, noe som skapte et lappeteppe av cybersikkerhet. NIS2 har som mål å gjøre dette lappeteppet til et mer ensartet teppe.

Gå til din rolle:

Vesentlig enhet

Du driver virksomhet i en sektor med høy kritikalitet (vedlegg I): energi, transport, bankvirksomhet, finansmarkedsinfrastruktur, helse, drikkevann, avløpsvann, digital infrastruktur, IKT-tjenestestyring (B2B), offentlig forvaltning eller romfart. Organisasjonen din har sannsynligvis over 250 ansatte eller en årlig omsetning på over 50 millioner euro. Hvis tjenestene dine slutter å fungere, merker folk det umiddelbart.

Dine forpliktelser

Gjennomføre tiltak for risikostyring innen cybersikkerhet på minst 10 områder (art. 21) – fra håndtering av sikkerhetshendelser til sikkerhet i leverandørkjeden
Rapporter alvorlige hendelser til din nasjonale CSIRT eller kompetente myndighet: tidlig varsling innen 24 timer, fullstendig melding innen 72 timer, sluttrapport innen 1 måned (art. 23)
Sørg for at medlemmer av ledelsen får opplæring i cybersikkerhet og godkjenner tiltak for risikostyring (art. 20) — ja, styret må ha forståelse for dette
Gjennomfør sikkerhetstiltak i leverandørkjeden, herunder vurdering av kritiske leverandører (art. 21.2d)
Bruk kryptering, multifaktorautentisering og sikker kommunikasjon der det er hensiktsmessig (art. 21.2 h–j)
Opprettholde planer for forretningskontinuitet, herunder sikkerhetskopiering og gjenoppretting etter katastrofer (art. 21.2c)
Gjennomføre regelmessige sikkerhetsvurderinger og revisjoner (art. 21.2f)
Registrer deg hos den nasjonale kompetente myndigheten (art. 3)

Viktige artikler

Art. 3 — Sentrale og viktige enheter§ 20 — Styring§ 21 — Risikostyring innen cybersikkerhet§ 23 — Rapporteringsplikt§ 32 — Tilsyn med sentrale enheterVedlegg I – Sektorer av høy kritisk betydning

Proff-tips

Fristen på 24 timer for tidlig varsling er ingen spøk. Ha en ferdig utarbeidet mal for hendelsesrapportering og en utpekt rapporteringsansvarlig som kjenner prosessen. Øv på rapporteringsprosessen før du trenger den – når du befinner deg midt i et ransomware-angrep klokka 03.00 om natten, er det ikke tid til å finne ut av hvordan CSIRT-portalen fungerer.

Viktig enhet

Dere opererer i en kritisk sektor (vedlegg II): posttjenester, avfallshåndtering, industri, kjemisk industri, næringsmiddelindustri, forskning eller digitale tjenesteleverandører (markedsplasser, søkemotorer, sosiale plattformer). Organisasjonen deres har over 50 ansatte eller en årlig omsetning på over 10 millioner euro. Dere havner kanskje ikke på forsidene hvis driften deres skulle bryte sammen, men samfunnet ville merke fraværet.

Dine forpliktelser

Gjennomføre de samme tiltakene for håndtering av cybersikkerhetsrisiko som sentrale enheter (art. 21) – de 10 områdene gjelder på samme måte
Følg samme tidsplan for hendelsesrapportering: varsel innen 24 timer, melding innen 72 timer, sluttrapport innen 1 måned (art. 23)
Sikre at ledelsen får opplæring og godkjenner tiltak (art. 20)
Gjennomføre due diligence av leverandørkjeden (art. 21.2d)
Opprettholde planer for forretningskontinuitet og krisehåndtering (art. 21.2c)
Registrer deg hos den nasjonale kompetente myndigheten (art. 3)

Viktige artikler

Art. 3 — Sentrale og viktige enheter§ 20 — Styring§ 21 — Risikostyring innen cybersikkerhet§ 23 — Rapporteringsplikt§ 33 — Tilsyn med viktige enheterVedlegg II – Andre kritiske sektorer

Proff-tips

Ikke la ordet «viktig» lure deg til å tro at kravene er mindre strenge. Forpliktelsene er de samme som for sentrale enheter – forskjellen ligger i tilsynsintensiteten og sanksjonene. Det er fortsatt mange grunner til å ta dette på alvor.

Sikkerhetssjef for cybersikkerhet / informasjonssikkerhet

Det er du som har ansvaret for å gjennomføre NIS2-kravene i praksis. Uansett om du har tittelen CISO, IT-sikkerhetssjef eller «den som trakk det korteste strået», er det du som skal omsette direktivets krav til konkrete sikkerhetstiltak, retningslinjer og prosedyrer for håndtering av sikkerhetshendelser.

Dine forpliktelser

Utvikle og vedlikeholde rammeverket for risikostyring innen cybersikkerhet i tråd med Art. 21s 10 domener
Innfør prosedyrer for påvisning, håndtering og rapportering av hendelser som overholder tidsfristene på 24 timer, 72 timer og 30 dager
Koordinere sikkerhetsvurderinger av forsyningskjeden for kritiske tredjepartsleverandører
Utarbeide og gjennomføre opplæring i cybersikkerhet for ledelse og ansatte
Gjennomfør regelmessige risikovurderinger, sårbarhetsskanninger og penetrasjonstester
Vedlikeholde og teste planer for forretningskontinuitet og gjenoppretting etter katastrofer
Sørg for tekniske tiltak: kryptering, multifaktorautentisering, nettverkssegmentering, tilgangskontroll
Dokumenter alt — NIS2-tilsynet er bevisbasert

Viktige artikler

§ 21 — Alle 10 områder innen risikostyring§ 23 — Tidsfrist for rapportering av hendelser§ 20 — Forpliktelser for ledelsesorganet

Proff-tips

Lag en samsvarsmatrise som knytter hvert område i artikkel 21 til de eksisterende kontrolltiltakene deres. Dere vil sannsynligvis oppdage at dere allerede oppfyller 60–70 % av kravene i NIS2 – utfordringen ligger i å dokumentere dette, fylle ut hullene og formalisere det som foreløpig er «noe vi gjør på en måte».

Hvordan Euregas kan hjelpe

Tilgjengelige verktøy

Hendelseshåndtering — følg opp hendelser med automatiske påminnelser om frister på 24 timer, 72 timer og 30 dager
Risikostyringstiltak (art. 21) — strukturert vurdering på tvers av alle de 10 påkrevde områdene
Leverandørvurdering — et poengsystem med åtte områder for å vurdere tredjeparters cybersikkerhetsnivå

AI-støttede funksjoner

Veiviser for konsultasjon (nis2_scope) — en veiledet vurdering i fem trinn for å avgjøre om du er en essensiell eller viktig enhet
Semantisk søk i NIS2-artikler og betraktninger

Merknad

Håndtering av hendelser og leverandørvurdering er manuelle, strukturerte arbeidsflyter. AI-støtte er tilgjengelig via veiviseren for å fastsette omfanget.

Alle eksemplene er fiktive og brukes kun til illustrasjonsformål.