Hverjir þurfa að huga að NIS2 og hvað breytist?
Margvíslegar tegundir starfsemi og þjónustu falla undir NIS2 sem gerðu það ekki áður, þar á meðal opinber stjórnsýsla, net- og upplýsingaþjónusta (ICT), matvælafyrirtæki, póst- og sendingaþjónusta, ýmsir framleiðendur, úrgangsvatn og meðhöndlun úrgangs.
Tilskipunin er enn í skoðun hjá sameiginlegu EES/EFTA nefndinni, er „EES-tæk“ og vænta má innleiðingar 2026-2027. Fyrirtæki ættu þó að hafa vaðið fyrir neðan sig og huga að undirbúningi.
Ábyrgð stjórnenda og viðurlög
Ábyrgð stjórnenda (stjórn og framkvæmdastjórn) og viðurlög vegna brota er mjög afgerandi í NIS2. Uppfylling krafna er ekki bara tæknilegt úrlausnaratriði heldur bera stjórnendur ábyrgð á að öryggisráðstafanir séu samþykktar og innleiddar. Sektir geta verið umtalsverðar, í dag er miðað við allt að 3% af veltu. Ákvörðun sektarupphæða er í höndum aðildarríkis en NIS2 gerir kröfu um lágmark 2% af veltu fyrirtækis sem veitir nauðsynlega þjónustu (1,4% af veltu mikilvægrar þjónustu/starfsemi).
—
Breytt umfang
Umfang NIS2 er ekki lengur bundið við mikilvæga innviði sem auðkennd eru af aðildarríki. Tilskipunin tekur til nauðsynlegrar og mikilvægrar starfsemi fyrirtækja sem mæta ákveðnum stærðarmörkum.
Helsti munurinn á „nauðsynlegri“ og „mikilvægri“ starfsemi felst í eftirliti, skýrslu- og upplýsingagjöf og viðurlögum.
Undir NIS2 falla fyrirtæki sem starfa innan viðeigandi geira, eru með 50 starfsmenn eða fleiri og veltan er að lágmarki um 1,5 milljarður (€ 10 milljón). Þó eru ýmis fyrirtæki sem falla ávallt undir NIS2 óháð stærð s.s. almennt fjarskiptanet og fjarskiptaþjónusta, TLD og DNS þjónustuveitendur og traustþjónusta (sem er nýtt).
Þó að fyrirtæki falli ekki beint undir NIS2, vegna stærðar eða veltu, gæti það verið hluti af aðfangakeðju fyrirtækis sem þarf að svara kröfum tilskipunarinnar eða DORA.
Í dag eru 68 fyrirtæki tiltekin sem veitendur nauðsynlegrar þjónustu, þar af 10 í hópi stafrænna innviða. Gera má ráð fyrir að við innleiðingu NIS2 muni sá fjöldi margfaldast,
þar sem tilskipunin nær bæði til fleiri geira og til fyrirtækja sem áður voru utan gildissviðs.
—Afmörkun
Í dag er nauðsynleg þjónusta í tilteknum geirum þeir aðilar sem veita þjónustu sem er „nauðsynleg fyrir viðhald mikilvægrar samfélagslegrar og efnahagslegrar starfsemi“. Þessir nauðsynlegu geirar ásamt veitendum stafrænnar þjónustu (netmarkaður, leitarvél á netinu og skýjavinnsluþjónusta) eru „mikilvægir innviðir“
Gildissvið NIS2 er umfangsmeira og ræðst að mestu af stærð, starfsmannafjölda og tegund starfsemi. Forðast má óþarfa kostnað og flækjur með því að afmarka sem best þá starfsemi og þjónustu sem er undir.
Best er að byrja á því að kortleggja helstu þjónustur og þau kerfi sem notuð er til að veita hana. Á grundvelli hversu mikil áhrif truflanir og veikleikar geta haft á samfélagið og efnahagslega starfsemi, er hægt að flokka og forgangsraða þjónustu og kerfum.
—Verkefni rekstraraðila
Núverandi íslensk regluverk fyrir NIS (lög nr. 78/2019, reg. 866/2020 og 1255/2020) er um margt ítarlegra en evrópska tilskipunin (2016/1148) og sumar af kröfum nýrrar tilskipunar eru þegar tilteknar í íslenska NIS.
Samt sem áður þurfa fyrirtæki sem falla undir NIS í dag að huga að: ábyrgð stjórnenda, breyttu umfangi, ítarlegri kröfum til aðgangsstýringar og þjálfunar, birgjastýringu og fleira.
Helstu verkefni fyrir bæði núverandi og væntanlega rekstraraðila eru:
· Gerð stöðumats
· Afmörkun umfangs
· Mat á áhættu vegna birgja (útvistuð verkefni)
· Útbúa eða uppfæra viðeigandi ferla og áætlanir s.s. viðbrags-, endurreisnar og þjálfunaráætlanir.
—Stafrænir innviðir skv. NIS2
Sem dæmi um breytingar á gildissviði frá núverandi reglum munu eftirfarandi stafrænir innviðir flokkast sem nauðsynlegir í breyttri tilskipun, feitletrað sýnir breytingu frá lögum nr. 78/2019:
· Rekstraraðilar:
o tengi og skiptipunkta (IXP)
o nafnaþjóna og sannvottunar nafnaþjóna
o skráningar landshöfuðléna
o skýjavinnsluþjónustu
o gagnavers
o efnisdreifingar (CDN)
o traustþjónustu
o almenns fjarskiptanets og fjarskiptaþjónustu
· ICT þjónustuveitendur
o Fyrirtæki sem veita ýmsa rekstar- og öryggisþjónustu fyrir net- og upplýsingarkerfi
§ Managed service providers og
§ Managed security service provider.
Starfsemi sem flokkast sem mikilvæg er:
o Netmarkaður
o Leitarvél á netinu
o Vettvangur samfélagsmiðla (social media platform)
—
#NIS2 #ICTþjónustuveitendur #Upplýsingatækni #Áhættustýring #Evrópureglugerð #RiskManagement