Mens EU allerede har vedtatt og er i ferd med å implementere den andre versjonen av Network and Information Systems Directive (NIS2), er det lite oppmerksomhet rundt NIS2 i Norge.
NIS2 er et sett med retningslinjer utviklet av EU for å ivareta digital sikkerhet i Europa. Direktivet har som mål å styrke sikkerheten til nettverks- og informasjonssystemer i hele EU, og pålegger organisasjoner å iverksette tiltak for å hindre cyberangrep og sikre rask gjenoppretting av systemer hvis noe går galt.
Som et medlem av EØS-området, er Norge forpliktet til å implementere NIS2. Så hvorfor har ikke Norge begynt å diskutere NIS2 enda? Hvorfor ser vi ikke flere artikler, kronikker og debatter om dette viktige emnet i mediene?
Dette er spesielt bekymringsfullt når man tenker på hvor viktig digital sikkerhet er i dagens samfunn.
Frykter nye lover om åpen kildekode: - Kommer til å bli smertefullt
Manglende forståelse og kunnskap
En mulig grunn til at NIS2 ikke har blitt diskutert så mye i Norge, kan være manglende forståelse og kunnskap om direktivet. Mange organisasjoner er ikke klar over betydningen av NIS2, eller hva som kreves av dem. GDPR, General Data Protection Regulation, er et annet europeisk direktiv som ble implementert i 2018, og som også krever at organisasjoner skal beskytte persondata på en effektiv måte.
GDPR fikk imidlertid mye oppmerksomhet og debatt i Norge, men mange organisasjoner var sent ute med implementeringen. Det fikk store negative konsekvenser. Den samme feilen bør ikke gjenta seg, og organisasjonene bør derfor begynne å forberede seg på NIS2 allerede nå.
NIS2 kommer til å ha stor innvirkning på det norske samfunnet. Mange organisasjoner og virksomheter som leverer viktige tjenester som strømforsyning, transport, bank og helsevesen, er alle omfattet av direktivet. NIS2 krever at organisasjoner implementerer omfattende sikkerhetstiltak for å beskytte sine nettverk og informasjonssystemer.
Dette innebærer alt fra fysisk sikkerhet til sikkerhetsprogramvare og prosedyrer for å håndtere og respondere på sikkerhetshendelser. NIS2 pålegger dermed organisasjonene økt ansvar. De blir nå nødt til å innrapportere cyber-sikkerhetshendelser til nasjonale myndigheter, som vil kunne ilegge betydelige bøter for manglende overholdelse. Viktigst av alt, hvis organisasjonene som omfattes av NIS2 ikke tar sikkerhet på alvor, kan det føre til alvorlige konsekvenser som cyberangrep, lekkasjer av sensitive data og økonomiske tap.
«Det er også viktig å påpeke at NIS2 ikke bare handler om å overholde regler. Det handler først og fremst om å beskytte vårt digitale samfunn.»
Norge har forpliktet seg
Det er på tide å begynne å diskutere NIS2 i Norge. Det er viktig at organisasjoner blir klar over betydningen av direktivet og de kravene det stiller, og at de begynner å iverksette tiltak for å beskytte sine nettverks- og informasjonssystemer.
Det er også viktig at myndighetene i Norge begynner å utvikle veiledninger og retningslinjer for implementering av NIS2, for å sikre at alle organisasjoner har den nødvendige informasjonen og støtten de trenger for å etterleve direktivet.
Det er også viktig å påpeke at NIS2 ikke bare handler om å overholde regler. Det handler først og fremst om å beskytte vårt digitale samfunn og sørge for at vi er rustet til å takle de utfordringene og truslene som vi møter i dagens digitale verden. Ved å implementere NIS2, vil vi kunne sikre at våre viktigste tjenester og infrastruktur forblir trygge og tilgjengelige for alle.
Til slutt vil jeg påpeke at NIS2 er et direktiv som allerede har blitt vedtatt av EU og er i gang med å bli implementert. Norge har forpliktet seg til å innføre dette direktivet, og det er på tide å begynne å diskutere og forberede seg på dette.
Vi kan ikke vente til det er for sent og konsekvensene av manglende forberedelse blir synlige. Vi trenger å ta NIS2 på alvor nå, og begynne å arbeide mot en mer sikker digital fremtid for oss alle.