Krav til samsvar
Med innføringen av EU-direktivet 2022/2555, også kalt NIS 2, har kravene til samsvar i virksomheten økt. Med NIS 2 blir trusselen fra cyberangrep i EU adressert. Direktivet regulerer cyber- og informasjonssikkerheten i selskaper og institusjoner. Cyberangrep anses nå som en av de største forretningsrisikoene for selskaper over hele verden.
NIS 2 erstatter EU-direktivet 2016/1148 (NIS 1) og skal bidra til å forbedre cybersikkerheten i Den europeiske union og beskytte bedrifter bedre. Implementeringen av NIS-2-direktivet medfører også økte krav til risikostyring og samsvar i mange selskaper. Dersom tiltakene ikke blir implementert tilsvarende, kan det føre til sanksjoner, sier advokatfirmaet MTR Legal.
EU har vedtatt NIS-2-direktivet i 2023, og innen 2025 må medlemsstatene innføre det i nasjonal lovgivning. Hvilke selskaper som er berørt av direktivet, avhenger hovedsakelig av type aktivitet. Direktivet har blitt utvidet til flere selskaper som anses som essensielle og viktige. Dette fører til en betydelig økning i selskaper og institusjoner som har lovlige forpliktelser overfor Bundesamt für Sicherheit in der Informationstechnik (BSI).
Kritisk infrastruktur berørt
Kritiske infrastrukturer som allerede var dekket av NIS-1-direktivet som energi, transport, helsevesen, finans, vannforvaltning og digital infrastruktur er ytterligere sektorer som er berørt av NIS-2-direktivet. Dette inkluderer offentlige elektroniske tjenester, flere digitale tjenester som sosiale plattformer, avløps- og avfallsforvaltning, post- og budtjenester, offentlig administrasjon eller produsenter av kritiske produkter. Det anslås at rundt 29 000 selskaper på tvers av bransjer i Tyskland vil bli berørt av implementeringen av NIS-2-direktivet. Først og fremst vil mellomstore og store selskaper i de kritiske sektorene være pålagt å iverksette passende tiltak for cybersikkerhet og etablere effektiv etterlevelse. De er også forpliktet til å informere relevante myndigheter om sikkerhetshendelser med betydelige forstyrrelser eller skader.
NIS-2-direktivet inneholder også bestemmelser om tilsyn, håndheving og frivillige jevnaldrende vurderinger for å styrke gjensidig tillit og cybersikkerhet i hele Den europeiske union. Dette betyr også at ledelsen er ansvarlig dersom cybersikkerhetsrisikostyringstiltak ikke overholdes.
Reaksjon på angrep på cybersikkerhet
Med NIS-2-direktivet opprettes også et nettverk av Computer Security Incident Response Teams for å utveksle informasjon om sikkerhetstrusler og reagerer hensiktsmessig på hendelser. I tillegg etableres det europeiske nettverket av kontaktorganisasjoner for cyberkriser. Dette nettverket støtter en regelmessig informasjonsutveksling mellom medlemslandene og EU-organene for å kunne reagere på hendelser og kriser av stor betydning.
Hvordan NIS 2 blir implementert i nasjonal lovgivning i Tyskland er ennå ikke klart. Årsaken er at implementeringen har blitt forsinket av de tidlige Forbundsdagsvalgene. Det er imidlertid klart at med implementeringen blir cybersikkerhet også et tema for mange mellomstore selskaper.
Selskaper må implementere sikkerhetstiltak
De står overfor utfordringen med å implementere nødvendige sikkerhetstiltak for å beskytte data og kritisk infrastruktur mot potensielle cyberangrep gjennom NIS 2. Dette krever nødvendige tekniske og organisatoriske tiltak. Hvis selskapet blir angrepet, må det finnes planer for å umiddelbart begrense skaden og gjenopprette systemene. Myndighetene må også bli informert. Videre må bedrifter gjennomføre jevnlige tester for å oppdage og eliminere sårbarheter. Cybersikkerhet bør også eksistere innenfor forsyningskjeden. Derfor må det også reageres på risiko her.
Implementeringen av NIS-2-direktivet innebærer utfordringer for effektiv samsvar i de berørte selskapene, ikke minst fordi styre- og ledelsesorganer personlig kan holdes ansvarlige hvis nødvendige sikkerhetstiltak ikke blir implementert.
MTR Legal bistår selskaper med å implementere effektive samsvarssystemer og sørger for at lovkravene blir oppfylt. Som forretningsadvokatfirma gir MTR Legal råd om Compliance og andre emner innenfor forretningsstrafferett.
Ta gjerne kontakt med oss!
