For å hjelpe medlemmene inviterer Deloitte Advokatfirma og Samfunnsbedriftene til webinar 2. juni klokka 09.00–11.00. Der går vi gjennom hvordan det nye regelverket skjerper kravene til digital sikkerhet, hvilke tiltak din virksomhet må iverksette – og hva det betyr i praksis.
Hva skjer?
Det kommer nye regler for digital sikkerhet som påvirker hvordan virksomheter må forebygge, avdekke og håndtere digitale hendelser. Disse EU-reglene blir implementert gjennom digitalsikkerhetsloven, og trer mest sannsynlig i kraft i 2025.
Digitalsikkerhetsloven gjelder for virksomheter som tilbyr samfunnsviktige tjenester innen blant annet energi, transport, helse, vannforsyning, bank og finans, og digital infrastruktur.
Både loven og den nye forskriften stiller strenge krav til digital sikkerhet. Det betyr at virksomheter må:
- Forebygge og håndtere digitale hendelser
- Ha kontroll over underleverandører gjennom tydelige kontrakter
Det nye regelverket bygger på EUs NIS1-direktiv, og vil bli oppdatert med kravene fra det nye NIS2-direktivet før det trer i kraft.
Hva endrer seg med NIS2?
- Det skilles mellom kritiske og viktige sektorer.
- De strengeste kravene gjelder for kritiske tjenester.
- Offentlig forvaltning blir inkludert som en kritisk sektor.
- Viktige sektorer utvides til blant annet avfallshåndtering og matproduksjon.
Felles for alle berørte virksomheter er at tjenestene deres er avgjørende for samfunnets funksjon og at de bruker nettverks- og informasjonssystemer.
Tre viktige endringer
Ledelsen får økt ansvar. Ledelsen blir ansvarlig for å godkjenne og overvåke sikkerhetstiltak. Obligatorisk opplæring pålegges ledelsen for å sikre tilstrekkelig kunnskap til å forstå risikoer og vurdere tiltak. Medlemmer av ledelsen kan holdes personlig ansvarlig om de ikke fyller sine forpliktelser.
Leverandører under lupen. Regelverket krever større grad av sikkerhet i forsyningskjeden. Dette må gjenspeiles gjennom krav ikontraktene. Mange virksomheter må derfor revidere kontraktene med sine leverandører, for eksempel for å gi større adgang til revisjon.
Kort varslingsfrist og internkontroll. Sikkerhetshendelser skal varsles innen 24 timer etter at virksomheten har blitt kjent med den. Innen 72 timer etter første varsel skal det gis en oppdatert vurdering av hendelsen. Regelverket krever også at virksomheter etablerer et styringssystem for informasjonssikkerhet.
Hvem blir berørt?
Eksempler på virksomheter som vil bli omfattet av regelverket:
Energi:
- KBO-enheter (kraftberedskapsforskriften § 2-1 andre ledd)
- Andre virksomheter underlagt kraftberedskapsforskriften § 1-3 andre ledd
Havn:
- Havner eller havneanlegg med mer enn 100.000 tonn gods årlig (over fem år)
- Havner eller havneanlegg som håndterer mer enn 100.000 passasjerer årlig (over fem år)
Helse:
- Helse- og omsorgstjenester i kommuner med
- Flere enn 50.000 innbyggere, eller
- Flere enn 20.000 brukere avhengige av tjenesten
- Tjenester som ikke kan avlastes av andre tjenester
Vann og avløp:
- Vannforsyningssystemer som behandler minst 2000 m³ drikkevann per døgn
Manglende etterlevelse kan medføre at både ledelsen og styret holdes personlig ansvarlige. Brudd på NIS2-direktivet vil kunne gi bøter på opptil 10 millioner euro eller 2% av årlig omsetning.
Tid: 2. juni klokka 09.00–11.00
Sted: Digitalt (lenke blir tilsendt dagen før webinaret)
Kursholdere: Partner/advokat Hanne Pernille Gulbrandsen og direktør Steinar Østmoe i Deloitte Advokatfirma AS
Pris: 2.500 kroner