En ny æra av cybersikkerhet i Europa

Kan fjerne ledelsen og stanse virksomheten

En av de mest drastiske endringene i NIS 2 er at tilsynsmyndigheter får makt til å midlertidig fjerne ledelsen i virksomheter som ikke overholder sikkerhetskravene. I tillegg kan virksomhetens aktiviteter stoppes midlertidig, noe som kan få alvorlige økonomiske konsekvenser. Manglende etterlevelse kan også føre til at styret og ledelsen får et personlig ansvar for konsekvensene av sikkerhetsbruddet.

Utvidet virkeområde og skjerpede sanksjoner

NIS 2 vil omfatte mange flere virksomheter enn tidligere. Næringer som energi, transport, helse, finans og IT vil være særlig berørt. Sanksjonene for brudd er også betydelig skjerpet, med bøter på opptil 2% av årlig konsernomsetning eller 10 millioner euro, avhengig av hva som er høyest.

Direktivet krever også at virksomheter sikrer hele sin leverandørkjede, noe som inkluderer alle aktører som virksomheten samarbeider med. Rapporteringen av sikkerhetshendelser og trusler skjerpes, med strenge tidsfrister for varsling. Videre må også toppledelsen gjennomgå cybersikkerhetsopplæring, som en del av deres forpliktelser under direktivet.

Norge henger etter

Norge ligger etter på implementeringen av NIS-direktivene. Digitalsikkerhetsloven, som skal implementere det opprinnelige NIS 1-direktivet fra 2016, forventes å tre i kraft tidligst i 2024, hele åtte år etter at det ble vedtatt av EU. Før loven trer i kraft, skal en høringsrunde for tilknyttede forskrifter gjennomføres, som vi erfarer vil skje i september eller oktober i år. Det vil i tillegg bli en separat høring for NIS 2-direktivet.

Nasjonal sikkerhetsmyndighet (NSM) forventes å bli tilsynsmyndighet i Norge for å påse etterlevelse av direktivene.

Veien videre

For norske virksomheter er det viktig å begynne forberedelsene nå. Cybersikkerhet er ikke bare et teknisk spørsmål, men handler også om styring og organisatoriske tiltak. Virksomheter må vurdere sine eksisterende sikkerhetsprosedyrer, implementere nødvendige endringer, og sikre at alle ledd i organisasjonen, spesielt ledelse og styret, er godt informert og opplært om de nye kravene.

For å unngå de strenge sanksjonene og risikoen for personlig ansvar, er det avgjørende at virksomheter begynner å jobbe strukturert med cybersikkerhet straks. NIS 2 stiller høye krav, men det gir også et rammeverk som kan bidra til å styrke organisasjonens motstandsdyktighet mot cybertrusler betydelig, noe som bør være hovedmotivasjonen. I tillegg vil krav fra EU-baserte selskaper som skal sikre sin verdikjede komme.

Med dette direktivet setter EU en ny standard for generelle krav til cybersikkerhet som kan bidra til å beskytte både økonomiske interesser og samfunnskritiske funksjoner i en stadig mer digitalisert verden.

Trenger du hjelp med cybersikkerhet? Ta gjerne kontakt med Kristian Foss eller en av våre andre dyktige advokater innenfor teknologi