NIS 2/Felles sikkerhetsnivå for digital sikkerhet (vedtatt)

Publisert

Bakgrunn 

Det første direktivet om sikkerhet for nettverks- og informasjonssystemer (NIS-direktivet) trådte i kraft i august 2016. Fristen for å innlemme akten i nasjonal rett var 9. mai 2018. Den 16. desember 2020 presenterte Europakommisjonen og Unionens høyrepresentant for utenriks- og sikkerhetspolitikk en ny EU-strategi for kybersikkerhet som har til hensikt å styrke Europas samlede motstandsdyktighet mot kybertrusler og sikre at alle borgere og bedrifter kan dra full nytte av pålitelige og sikre digitale tjenester og verktøy. Følgelig la Kommisjonen frem to nye forslag: et direktiv om tiltak for høyt felles nivå av kybersikkerhet i hele unionen (revidert NIS-direktiv eller ‘NIS 2'), og et nytt direktiv om motstandsdyktigheten til kritiske enheter. 

NIS-direktivet har økt EUs nasjonale kybersikkerhetskapasiteter ved å kreve at medlemsstatene utarbeider en nasjonal kybersikkerhetsstrategi og etablerer enheter for å sikre datasikkerhet (CSIRTs) samt utpeker nasjonale kompetente myndigheter for NIS. I tillegg er medlemslandene pålagt å bygge kopmetanse i både offentlig og privat sektor og på tvers av digitale tjenester.  

Det foreslåtte reviderte NIS-direktivet, NIS 2, opphever det eksisterende NIS-direktivet. Det nye har som mål å styrke de pålagte sikkerhetskravene, forbedre sikkerheten i forsyningskjeder, effektivisere rapporteringsplikten og innføre strengere tilsynstiltak og håndhevingskrav, inkludert samordnede sanksjonsregimer på tvers av medlemslandene. Det inkluderer også forslag til informasjonsdeling og samarbeid om håndtering av kyberkriser på nasjonalt og EU-nivå. 

 

Politisk prosess 

Kommisjonen la frem sitt NIS 2-forslag for ITRE i 2021. Under ITREs behandling, Komiteen krevde de strengere kybersikkerhetsforpliktelser, inkludert risikostyring og rapporteringsplikter, for å redusere administrativ byrde og forbedre rapportering av sikkerhetshendelser. Rapporten foreslo også strengere tilsyns- og håndhevelsestiltak i EU, samt utvidelse av direktivets omfang til å inkludere akademia. ske institusjoner. Parlamentet vedtok rapporten 22. november 2021. 

Parlamentet og Rådet nådde en politisk avtale 13. mai 2022. Det reviderte direktivet oppdaterer kybersikkerhetsforpliktelser, etablerer EU-CyCLONe for hendelseshåndtering, og ekskluderer visse offentlige sektorer.  

Medlemslandene skal ha implementert direktivet i nasjonal rett innen 24. oktober 2024. 

Kommisjonen publiserte retningslinjer for NIS 2-direktivet 14. september 2023, krever oppretting av lister over vesentlige enheter innen 17. april 2025. 

EØS-relevans 

Direktivet er markert som EØS-relevant fra EUs side.  Direktivet er nå til behandling i EØS-EFTA-statene. 

Justis- og beredskapsdepartementets foreløpige vurdering er at direktivet er EØS-relevant og akseptabelt for Norges del.