Aftur í leiðbeiningar

Hvað er NIS2 og gildir hún um mitt fyrirtæki?

NIS2 er evrópsk löggjöf um net- og upplýsingaöryggi sem leggur skyldur á þúsundir fyrirtækja sem eldri reglur náðu ekki til. Hér er farið yfir hvað tilskipunin er, hverjir falla undir hana, hvaða kröfur hún gerir og hvernig þú kemst að því hvort hún gildir um þitt fyrirtæki.

Þessi grein er almenn leiðbeining og ekki lögfræðiráðgjöf.

Hvað er NIS2 í stuttu máli

NIS2 (tilskipun ESB 2022/2555) er önnur útgáfa evrópsku tilskipunarinnar um öryggi net- og upplýsingakerfa. Hún leysir af hólmi eldri NIS-tilskipunina frá 2016 og gengur mun lengra: fleiri geirar falla undir hana, kröfurnar eru ítarlegri og viðurlögin þyngri. Tilskipunin fellur undir EES-samninginn og er innleidd í íslenskan rétt.

Markmiðið er einfalt: að fyrirtæki og stofnanir sem samfélagið reiðir sig á taki netöryggi alvarlega, ekki bara í tæknideildinni heldur í stjórn og hjá öllu starfsfólki.

Gildir NIS2 um mitt fyrirtæki?

Meginreglan er að NIS2 nái til miðlungsstórra og stærri fyrirtækja, að jafnaði með fleiri en 50 starfsmenn eða yfir 10 milljónir evra í ársveltu, sem starfa í tilteknum geirum. Geirunum er skipt í tvo flokka:

  • Mikilvæg þjónusta (essential): orka, samgöngur, banka- og fjármálaþjónusta, heilbrigðisþjónusta, drykkjarvatn og fráveitur, stafrænir innviðir, opinber stjórnsýsla og geimtækni.
  • Þýðingarmikil þjónusta (important): póst- og hraðsendingaþjónusta, úrgangsstjórnun, efnaframleiðsla, matvælaframleiðsla, framleiðsla tiltekinna tækja, stafrænir veitendur á borð við skýjaþjónustur og netverslanir, og rannsóknastarfsemi.

Þótt fyrirtækið falli ekki beint undir hana

Lítil fyrirtæki utan þessara geira eru oft undanþegin tilskipuninni sjálfri. En kröfurnar smitast eftir aðfangakeðjunni: fyrirtæki sem fellur undir NIS2 ber ábyrgð á öryggi birgja sinna og undirverktaka og sendir þeim öryggisspurningalista. „Hvaða öryggisþjálfun fær starfsfólkið þitt?“ er orðin stöðluð spurning í útboðum og samningaviðræðum, líka hjá fyrirtækjum sem falla ekki sjálf undir tilskipunina.

Hvaða kröfur gerir NIS2

Tilskipunin leggur þrjár megintegundir skyldna á fyrirtæki:

  • Áhættustjórnun (21. gr.): skjalfestar öryggisráðstafanir, þar á meðal viðbragðsáætlanir, öryggi aðfangakeðju, aðgangsstýring, fjölþátta auðkenning, dulkóðun, og sérstaklega grunnatriði í netöryggi og þjálfun starfsfólks.
  • Ábyrgð stjórnenda (20. gr.): stjórn samþykkir öryggisráðstafanir, hefur eftirlit með þeim og situr sjálf þjálfun. Stjórnendur geta borið persónulega ábyrgð á vanrækslu.
  • Tilkynningarskylda (23. gr.): alvarleg atvik skal tilkynna eftirlitsstjórnvaldi með fyrstu viðvörun innan 24 klukkustunda og ítarlegri tilkynningu innan 72 klukkustunda.

Hvað gerist ef kröfurnar eru ekki uppfylltar

Viðurlögin eru umtalsverð. Fyrir mikilvæga þjónustu geta sektir numið allt að 10 milljónum evra eða 2% af árlegri heildarveltu á heimsvísu, hvort sem hærra er. Fyrir þýðingarmikla þjónustu allt að 7 milljónum evra eða 1,4% af veltu. Til viðbótar getur eftirlitið krafist úrbóta og stjórnendur borið persónulega ábyrgð.

Hvar á að byrja

Raunhæf fyrstu skref eru fjögur: kanna hvort fyrirtækið falli undir tilskipunina (geiri og stærð), fá stjórnina að borðinu því ábyrgðin liggur þar, koma grunnráðstöfunum í lag (fjölþátta auðkenning, afrit, uppfærslur, viðbragðsáætlun), og koma reglubundinni og skjalfestri öryggisþjálfun starfsfólks í gang. Þjálfunarkrafan er sú skylda sem einfaldast er að uppfylla strax, og hún skilar mestu í reynd því langflestar árásir beinast að fólki.

Algengar spurningar

Hvað er NIS2?
NIS2 er tilskipun ESB (2022/2555) um net- og upplýsingaöryggi. Hún skyldar fyrirtæki í tilteknum geirum til að stjórna netöryggisáhættu, þjálfa starfsfólk, tilkynna alvarleg atvik og gerir stjórnendur ábyrga fyrir því að þetta sé gert. Hún fellur undir EES-samninginn og er innleidd í íslenskan rétt.
Gildir NIS2 um mitt fyrirtæki?
Að jafnaði ef fyrirtækið hefur fleiri en 50 starfsmenn eða yfir 10 milljónir evra í ársveltu og starfar í geirum á borð við orku, samgöngur, fjármál, heilbrigðisþjónustu, stafræna innviði, matvæli, framleiðslu eða skýjaþjónustu. Minni fyrirtæki finna samt fyrir kröfunum í gegnum viðskiptavini sem falla undir tilskipunina.
Hvaða kröfur gerir NIS2 um þjálfun starfsfólks?
Í 21. grein er þjálfun starfsfólks í netöryggi tilgreind sem hluti af skyldubundnum áhættustjórnunaraðgerðum, og samkvæmt 20. grein situr stjórnin sjálf þjálfun. Í reynd þýðir það reglubundna, skjalfesta þjálfun sem hægt er að sanna gagnvart endurskoðendum og eftirliti.
Hvað eru viðurlögin við broti á NIS2?
Sektir geta numið allt að 10 milljónum evra eða 2% af heimsveltu fyrir mikilvæga þjónustu, og allt að 7 milljónum evra eða 1,4% fyrir þýðingarmikla þjónustu. Stjórnendur geta auk þess borið persónulega ábyrgð.

Þjálfunarkrafan er einfaldasta skrefið

Varhugi uppfyllir þjálfunarkröfu NIS2 með stuttum mánaðarlegum námskeiðum á íslensku, sjálfvirkum skírteinum og endurskoðunarskýrslu á einum smelli.