Lov om digital sikkerheit
29.11.2024
Dagleg leiar i bedrifter som tilbyr "samfunnsnyttige tenester" må vise til eit systematisk arbeid med risikovurderingar og kontinuerleg forbetring av sikringstiltak - med mål om å minke risikoen for cyberangrep.
Kva er NIS1, NIS2 og lova om digital sikkerheit?
Den norske digitalsikkerheitslova vart vedteken i Stortinget i desember 2023, og vil tre i kraft straks den tilhøyrande forskrifta er klar. I september 2024 sende Justis- og beredskapsdepartementet forskrifta ut på høyring, med høyringsfrist 11. desember 2024.
Dermed vil digitalsikkerheitslova med forskrift tre i kraft innan kort tid. Denne lova og forskrifta byggjer i første omgang på EU sitt NIS1-direktiv frå 2016. For EU sine medlemsland vart NIS1 erstatta av det nye NIS2-direktivet frå oktober 2024. Den norske lova med forskrift kjem til å verte tilpassa NIS2.
Må vi følgje desse lovene?
Dei som tilbyr "samfunnsviktige tenester" må følgje dei nye lovene, og skal også stille sikkerheitskrav til leverandørane sine. I lova om digital sikkerheit gjeld det sektorane:
- energi
- transport
- helse
- vassforsyning
- bank og finans
- digital infrastruktur
- nettbaserte marknadsplassar og skytenester
I NIS2 er omfanget utvida til å gjelde 18 sektorar, t.d. matproduksjon, forsking, utdanning, offentleg forvalting, avfallshandtering og produksjon av ulike varer.
I praksis betyr dette at dei som vil konkurrere om leveranser til europeiske kundar i desse sektorane må ha god kontroll på digital sikkerheit, risikostyring og sikringstiltak. Slike kundar vil velje leverandørar som kan dokumentere god risikostyring.
Kva krav må vi oppfylle?
Lova krev at dagleg leiar driv eit systematisk arbeid med risikovurderingar og kontinuerleg forbetring av sikringstiltaka. Forskrifta om digital sikkerheit omtalar organisatoriske, teknologiske, fysiske og personellmessige tiltak. Konkrete minimumskrav er mellom anna sikkerheitsovervaking av nettverk og informasjonssystem, tilgangsstyring og totrinnsautentisering, i tillegg til beredskapsplanlegging, øving og rutinar for å handtere cyberangrep og andre hendingar.
Tenester frå Tussa IKT
Vi nemner to av tenestene som er svært relevante for å oppfylle dei nye lovkrava:
- MDR-SOC 247 er sikkerheitsovervaking med varsling
- Tussa IRT er ein avtale om profesjonell handtering av hendingar, med garantert responstid døgnet rundt
Sikkerheitsavdelinga i Tussa IKT har rådgjevarar som kan hjelpe deg med å systematisere arbeidet med sikkerheitsleiing og risikostyring, og å prioritere mellom ulike tiltak.
IT-sikkerheitsavdelinga i Tussa IKT har rådgjevarar som hjelper deg med å få system på sikkerheitsarbeidet.
