- IT-tjenester
- Compliance
- NIS og NIS2 – utvidet ansvar
NIS og NIS2 – utvidet ansvar
Et skjerpet regulatorisk landskap
NIS-direktivet og den kommende NIS2-utvidelsen representerer en betydelig skjerping av kravene til virksomheter med samfunnskritiske funksjoner. Samtidig utvides ansvaret til å omfatte leverandørkjeden i langt større grad enn tidligere.
Det betyr at virksomheten ikke bare må ha kontroll på egne systemer, men også på hvordan leverandører påvirker sikkerheten.
For ledelsen innebærer dette at digital risiko ikke stopper ved organisasjonsgrensen.
Hva NIS2 endrer
NIS2 innebærer blant annet:
- Strengere krav til risikostyring
- Tydeligere ansvar for ledelsen
- Økte krav til leverandørkontroll
- Mer omfattende dokumentasjonskrav
- Tydeligere tilsyns- og sanksjonsregime
Dette betyr at virksomheter må profesjonalisere sikkerhetsstyringen ytterligere, særlig når det gjelder tredjepartsforhold.
Leverandørkjeden som risikofaktor
Mange alvorlige sikkerhetshendelser de senere år har sitt utspring i leverandørkjeden. Derfor krever NIS2 at virksomheter identifiserer kritiske leverandører, vurderer deres sikkerhetsnivå og etablerer mekanismer for oppfølging.
I praksis innebærer dette at virksomheten må:
- Kartlegge leverandører som påvirker kritiske tjenester
- Vurdere risiko knyttet til disse
- Stille tydelige sikkerhetskrav i kontrakter
- Følge opp og dokumentere etterlevelse
Dette må inngå som en del av virksomhetens overordnede styringssystem.
Ledelsesansvaret skjerpes
NIS2 tydeliggjør at ledelsen har ansvar for å sikre at virksomheten etterlever kravene. Manglende styring kan få regulatoriske konsekvenser.
Styret trenger ikke detaljkunnskap om teknologi, men må kunne vise at:
- Risiko er vurdert
- Tiltak er besluttet
- Kontrollmekanismer er etablert
- Oppfølging skjer systematisk
Dette er styring – ikke drift.
Hvordan Sodvin bistår
Sodvin hjelper virksomheter med å etablere strukturert leverandørkontroll som en integrert del av risikostyringen. Vi bistår med kartlegging, vurdering, dokumentasjon og implementering av nødvendige tiltak.
Målet er at leverandørkontroll ikke skal være en administrativ byrde, men en naturlig del av virksomhetens sikkerhetsstyring.
Vil du forstå NIS2 i praksis?
Digital risiko stopper ikke ved organisasjonsgrensen. Kontroll må være helhetlig.
Snakk med oss om Compliance og Sikkerhetsrådgivning!
Artikler
SIKKER M365 er nå blitt enda sikrere!
Nå med døgnkontinuerlig overvåkning av brukerens Microsoft-identitet. SIKKER M365 har vært en av våre største sikkerhetssuksesser. Gjennom kontinuerlig sårbarhetsmonitorering av brukerkontoer og løpende optimalisering av sikkerhetsparametere i Micros...
Les mer
SIKKER Maskin – en trygg og forutsigbar PC-hverdag, satt inn i en helhet
For ledere handler IT-sikkerhet i stadig større grad om risiko, kontinuitet og ansvar – ikke om teknologi i seg selv. Når ansatte er avhengige av PC-er for å gjøre jobben sin, blir disse maskinene virksomhetens viktigste arbeidsverktøy. Samtidig er d...
Les mer
On-Guard Identitetsbeskyttelse
Den viktigste nøkkelen du har i jobbsammenheng er din digitale identitet. Gjennom Microsoft 365-kontoen får du tilgang til alt – e-post, Teams, dokumenter, apper og bedriftens data. Nettopp derfor er denne kontoen også et av de mest attraktive målene...
Les mer