For å sikre det indre markedet mot både tilsiktede handlinger (terror, kriminalitet, hybride trusler) og utilsiktede handlinger (naturfare og kriser), vedtok EU i 2023 to direktiver som skal regulere sikringen av kritiske funksjoner og tjenester. Tiden for å imøtekomme kravene i direktivene starter nå!
Hva de to direktivene er
NIS 2 –direktivet ( Network and Information Security)
Formålet med NIS2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU, redusere fragmenteringen av det indre markedet i sektorer som allerede er omfattet av NIS-direktivet, og forbedre den felles bevisstheten og kapasiteten knyttet til motstandsdyktighet.
CER –direktivet ( Critical Entities Resilience)
Formålet med CER-direktivet er å sikre leveransen av tjenester i det indre marked, som er avgjørende for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter, og å styrke motstandskraften til enheter som tilbyr slike tjenester. Det er NIS 2 som regulerer digital sikkerhet, mens CER-direktivet regulerer alle andre aspekter av sikkerhet.
Hvem direktivene omhandler
Det er en betydelig overlapp i virkeområde for de to direktivene. Kort fortalt så er alle sektorer og områder som faller inn under CER-direktivet, også omfattet av NIS 2-direktivet. NIS 2-direktivet definerer virkeområdet sitt som tilbydere av samfunnsviktige tjenester inne 18 definert sektorer, og skiller mellom essensielle og viktige samfunnsviktige tjenester. Forskjellen mellom de to kategoriene er kort fortalt at de essensielle tjenestene vil være gjenstand for tilsyn samt at det er forskjellige satser for bøtelegging i tilfelle mislighold av direktivet.
Det er en betydelig overlapp i virkeområdet mellom disse to direktivene og sikkerhetsloven. I praksis betyr dette at alle som er underlagt sikkerhetsloven og har etablert et forsvarlig sikkerhetsnivå, også vil tilfredsstille kravene i de to EU-direktivene. I motsetning til sikkerhetsloven så vil ikke myndighetene aktivt peke ut og underlegge de virksomhetene som treffes av de to direktivene – det er virksomhetene selv som må finne ut om de er truffet av direktivene!
Det er potensielt veldig mange virksomheter som vil måtte forholde seg til disse to direktivene, herunder et stort antall små og mellomstore bedrifter. Direktivene har også et leverandørkjede-perspektiv, noe som innebærer at det ikke bare er eiere av kritiske samfunnsfunksjoner som treffes, men også alle leverandører og underleverandører til disse funksjonene.
Når skjer dette?
Direktivene er allerede vedtatt i EU, og er av norske myndigheter vurdert som EØS-relevant. Det er krav til medlemslandene om at direktivene skal implementeres i nasjonal lov innen 17. oktober 2024, og settes i kraft påfølgende dag. For Norge er ikke dette relevant før direktivene blir besluttet å inngå i EØS-avtalen, noe som tidligst vil skje i løpet av 2025.
Selv om direktivene ikke blir implementert i norsk lov før tidligst til neste år så utelukker ikke dette at norske virksomheter blir berørt allerede i oktober i år. For virksomheter som bedriver aktivitet i EU-land, har datterselskaper i eller eies av selskaper i EU land, eller inngår i en leverandørkjede til en virksomhet i EU-land vil direktivene måtte etterleves fra 18. oktober 2024.
Det er også relevant å informere om at NIS 1 allerede er implementert i norsk rett gjennom lov om digital sikkerhet som ble vedtatt i desember 2023. Den er enda ikke trådt i kraft i påvente av tilhørende forskrifter, men disse forventes å være klare rett etter sommeren.
Hva virksomhetene må gjøre
Det er ingen grunn til å sitte stille i båten og vente på at direktivene skal bli implementert i norsk lov en gang i 2025. Disse direktivene vil bli en del av EØS-avtalen og man bør starte prosessen med å tilfredsstille kravene så snart som mulig. Dette gjelder spesielt for de virksomhetene som er omfattet av NIS 1, men også de virksomhetene som har aktivitet i EU-land innenfor de sektorene som er utpekt.
Virksomheter som har en relasjon til de definerte sektorene, må selv vurdere om de omfattes av direktivene. Tiltakene som virksomhetene må gjøre kan sammenlignes med det sikkerhetsloven beskriver som å «etablere et forsvarlig sikkerhetsnivå». Dette innebærer å gjennomføre en risikosikringsanalyse med en «all-hazard»-tilnærming og basert på denne iverksette tekniske, sikkerhetsmessige og organisatoriske tiltak for å sørge for at virksomheten evner å motvirke trusler mot og opprettholde funksjonsevnen til sin tjeneste.
Det er et strengt sanksjonsregime forbundet med direktivene. Hvis man unnlater å sikre sine virksomheter på en tilfredsstillende måte kan man bli bøtelagt med 10 millioner euro eller 2 % av virksomhetens globale omsetning hvis man er definert som en essensiell virksomhet.
Hva kan Advansia hjelpe til med
Advansia kan hjelpe virksomheter i alle steg forbundet med de to direktivene.
- Vurdering om direktivene er relevant for din virksomhet.
- Hvis virksomheten er omfattet av direktivene vil vi kunne hjelpe til med risikovurderinger og utforming av relevante tiltak for å tilfredsstille kravene i direktivene, og de kommende norske lov- og forskriftskrav.
- Utarbeidelse av beredskapsplaner, krisehåndteringsplaner for håndtering av relevante trusler som er fremkommet i risikovurderingene. Vi kan også gjennomføre trening og øving av disse.
Seksjon sikkerhetsrådgivning i Advansia har et unikt team, bestående av en tverrfaglig gruppe spesialrådgivere med lang og bred erfaring fra det offentlige og fra næringslivet. Seksjonens samlede kompetanse dekker alle fagområder innen fysisk og digital sikkerhet, beredskap og krisehåndtering. Sammen med vårt digitaliseringsmiljø er vi ca. 160 rådgivere, og utgjør sammen en sterk faglig enhet innen sikkerhet og digitalisering.
Vårt team består av medarbeidere med høyere utdanning og lang erfaring innen fagfeltene forebyggende sikkerhet, teknologi og juss, sikkerhet og beredskap, krisekommunikasjon og krisehåndtering. Vi dekker fagfeltene prosjektledelse, hele spekteret av risikoanalyser og vurderinger, beredskap- og hendelseshåndtering, beredskapsøvelser i forskjellige varianter, CIM implementering, sikkerhetsledelse og styring, fysisk og elektronisk sikring, cybersikkerhet, revisjoner og granskninger, reisesikkerhet, sikkerhet ved etablering av virksomhet i inn- og utland, kriminalitetsforebyggende tiltak gjennom fysiske og elektroniske system og omgivelser, trygge byrom samt sikring av folksomme steder og bygninger.
