Gå til innhold

Lov&Data

1/2025: Artikler
26/03/2025

NIS2: Hvilke virksomheter og leveranser vil omfattes av fremtidens krav til cybersikkerhet infrastruktur?

Av Kristian Foss, advokat, Bull & Co advokat­firma.

Bakgrunn:

NIS2-direktivet (Direktiv (EU) 2022/2555) erstatter det tidligere NIS-direktivet (Direktiv (EU) 2016/1148) og gir en utvidet ramme for cybersikkerhet på tvers av EU. Hensikten med NIS2 er å styrke sikkerheten og motstandskraften til IT-systemer og kritisk infrastruktur. I denne artikkelen vil vi se nærmere på hvilke enheter som blir omfattet av NIS2 i henhold til artikkel 2 og vedlegg 1 og 2.

Del 1: Hvilke virksomheter og leveranser omfattes? Del 2: Hvilke sikkerhetskrav gjelder og hvordan kan kravene oppfylles. Del 3: Hvilket personlige ansvar kan ledelsen og ansatte pådra seg dersom kravene ikke etterleves.

I denne første artikkelen i en serie på tre vil vi fokusere på hvilke virksomheter som vil omfattes av Network and information system-direktivet («NIS2»).(1)DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive). Spørsmålet om virkeområdet fortjener litt ekstra oppmerksomhet fordi det ikke er helt rett frem å besvare. En rekke virksomheter faller klart innenfor, men gråsonen er ekstra stor som følge av måten NIS2 er strukturert på.

Kortversjonen av de omkring 3200 ordene som bestemmer virkeområdet er at følgende private og offentlige virksomheter omfattes:(2)NIS2 art. 2 og 3, annex 1 og 2, ikke medregnet forordninger og direktiver vist til eller fotnoter.

  1. virksomheter i bransjer som listet opp i NIS2 annex 1 og 2 (energi, transport, helse, digital infrastruktur, vann og kloakk, matproduksjon, tilvirkning av maskiner og utstyr, m.fl.)

  2. virksomheter med over 50 ansatte og årlig omsetning eller balanse over 10 MEUR; eller

  3. er særlige kritiske selv om virksomheten er mindre, med

  4. datterselskaper og såkalt «partner-selskaper» (over 25 % eierandel eller annen kontroll), med mindre disse er lite tilknyttet virksomheten, og

  5. andre selskaper i leveransekjeden, avhengig av risiko.

Se mer om hvilke virksomheter som er omfattet i pkt. 2.

NIS2 gjelder samfunnskritisk infrastruktur, døpt «network and informations systems» («NIS») i direktivets engelske utgave. NIS betyr grovt sagt infrastruktur for signaltransport med noe tilhørende logikk. Dermed oppstår blant annet spørsmålet om selvstendig programvare omfattes og eventuelt hvilken. Vi ser nærmere på dette i pkt. 1, før vi tar fatt på den omfattende katalogen av omfattede virksomheter i punkt 2.1.

Dermed oppstår blant annet spørsmålet om selvstendig programvare omfattes og eventuelt hvilken.

Siden NIS2 er et direktiv vil vi ikke kjenne reglenes eksakte utforming før også Norge implementerer direktivet. Men dette minimumsdirektivet vil i alle fall gi en tydelig indikasjon på hva som blir minstemålet norske og europeiske virksomheter vil måtte etterleve. Har den norske virksomheten kunder eller leverandører i EU-land, vil direktivteksten være enda mer interessant.

Det første NIS-direktivet, ofte kalt NIS1, er fra 2016 og er enda ikke implementert i norsk rett.(3)Direktiv (EU) 2016/1148.(4)IKT-forskriften av 2003 har i mellomtiden vært det nærmeste vi har kommet et generelt cybersikkerhetsregelverk for norske virksomheter, selv om det er rettet inn mot finansbransjen. Ellers har vi hatt sektorbasert regulering, som vil bestå ved siden av NIS2. Høringen for implementering av NIS1 var sist høst med frist 11. desember 2024, åtte år etter NIS1 kom. Justis- og beredskapsdepartementet opplyser om at høringsnotatet for NIS2 er under utarbeidelse, så vi får anta det ikke går nye åtte år får det implementeres.

Både NIS1 og NIS2 vil bli implementert gjennom forskrift, da digitalsikkerhetsloven av 2023 er helt overordnet og nærmest bare en fullmaktslov.(5)L20.12.2023 nr. 108 Lov om digital sikkerhet. Loven vil tre i kraft når NIS1-forskriften er vedtatt av regjeringen.

En samling ikoner som har med ulike tjenester å gjøre, deriblant kleshenger, graf, datamaskin, hus, medisiner, energisymbol, digital illustrasjon.

Illustrasjon: Colourbox.com

1. Hvilke leveransetyper omfattes – hva med selvstendig programvare?

1.1 Hva er et NIS?

Direktivet har tatt sitt navn fra leveransetypen direktivet regulerer, nemlig informasjons- og nettverkssystemer. Det vil si

  1. «et elektronisk kommunikationsnet som defineret i artikel 2, nr. 1), i direktiv (EU) 2018/1972

  2. enhver anordning […], hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller

  3. digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a) og b) med henblik på deres drift, brug, beskyttelse og vedligeholdelse»

(NIS2 art. 6 (1), i den danske versjonen, mine uthevinger)

Et «elektronisk kommunikationsnet» er i følge direktiv (EU) 2018/1972 artikel 2, nr. 1

« transmissionssystemer , […], og, […], koblings- og dirigeringsudstyr og andre ressourcer, […], som gør det muligt at overføre signalerved hjælp af trådforbindelse, radiobølger, lyslederteknik eller andre elektromagnetiske midler, […], i det omfang de anvendes til transmission af signaler , […] , uanset hvilken type information der overføres.»

Vi snakker med andre ord om signaltransport i nettverk. Slike nett kan være trådløse eller kablede, så lenge de er elektromagnetiske eller lysbaserte, som i fiber. Her er altså reguleringen ikke fullt ut teknologinøytral. Skulle en ny overføringsmåte bli aktuell, kanskje kvanter, får vi anta at direktivet og/eller de nasjonale implementeringene vil oppdateres.

Et informasjons- og nettverkssystem – et NIS – kan også bestå av en «anordning». I direktivets engelske versjon «device», noe som oversetter til «innretning» eller «enhet» på norsk. Trolig en fysisk gjenstand med andre ord. Denne anordningen må utføre automatisk behandling av «digitale data» ved hjelp av et «program». Den engelske utgaven av direktivet bruker i likhet med den danske «program», og ikke «software». Man kan dermed tenke seg at også «firmware» omfattes, noe som er praktisk i nettverksutstyr. Prinsipielt er det heller ikke utelukket at ren maskinbasert logikk skulle kunne være omfattet, så lenge behandlingen er automatisk og den kan håndtere digitale data.

Det siste alternativet i c) gjelder tilknyttet lagring og overføring av digitale data ved hjelp av en anordning (b) eller et elektronisk kommunikasjonsnett (a), som nevnt over. Slike data må «behandles», «fremfindes», «overføres» eller «lagres». Uansett er det sentrale at det skjer noe med dataene knyttet til enheten eller nettet. Typisk vil enheten være en datamaskin med minne. Dermed omfattes for eksempel datasentre, med sine servere. I nettet vil typisk rutere og switcher behandle og overføre digitale data. Men også annet nettverksutstyr og PCer i næring og offentlige virksomheter vil omfattes. Det samme gjelder selve nettverkene som knytter enhetene sammen, lokalt (LAN), et større område (WAN) og internett.

I sum utgjør disse bestanddelene NISet, et moderne samfunns digitale infrastruktur. Formålet med NIS-direktivene er å sikre disse NISene, når de brukes av virksomheter som er viktige for samfunnet. Hvilke virksomheter dette er skal vi som nevnt se nærmere på i pkt. 2.1.

Hvilke sikkerhetskrav og hvordan kravene kan tilfredsstilles, skal vi behandle i del 2 av artikkelserien. Hvilket personlige ansvar ledelsen og ansatte kan pådra seg dersom kravene ikke etterleves skal vi ta for oss i del 3 av artikkelserien.

I sum utgjør disse bestanddelene NISet, et moderne samfunns digitale infrastruktur.

1.2 Hva med frittstående programvare?

Et sentralt spørsmål er hvor langt opp i «stabelen» av maskin- og programvare reguleringen i NIS2 går. Som vist i det forrige punktet, kan det virke som at rekkevidden er begrenset til infrastrukturlaget med støttende programvare. Det er ikke nødvendigvis tilfelle.

Av NIS2 art. 21 (1) og (2) fremgår det at essensielle og viktige virksomheter skal pålegges forholdsmessige tiltak for å oppnå tilfredsstillende sikkerhet, for å hindre eller minimere konsekvenser av hendelser (eng. «incidents»). Hendelser er definert i NIS2 art. 6 (6) og lyder på dansk:

» hændelse «: en begivenhed, der bringer tilgængeligheden, autenticiteten, integriteten eller fortroligheden af lagrede, overførte eller behandlede data eller af detjenester, der tilbydes af eller er tilgængelige via net- og informations­ systemer, i fare [mine uthevinger]

I definisjonen ligger at rekkevidden ikke er begrenset til NISet selv, men strekker seg også til «tjenester som tilbys eller er tilgjengelige via NISer». I dagens samfunn betyr det i prinsippet enhver programvare.

At rekkevidden er lang rimer også med siktemålet for direktivet: «å oppnå et høyt felles cybersikkerhetsnivå» (NIS2 art. 1 (1)). Cybersikkerhet skal forstås som i cybersikkerhetsforordningen (jf. NIS2 art. 6 (3)). Av cybersikkerhetsforodrningen fremgår at (6)Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)

«‘ cybersecurity ’ means the activities necessary to protect network and information systems, the users of such systems , and other persons affected by cyber threats ;» (art. 2 (1)).

«Cybertrusler» er definert til

«‘[…] any potential circumstance, event or action that could damage, disrupt or otherwise adversely impact network and information systems, the users of such systems and other persons ;» (art. 2 (8)).

[mine uthevinger]

Cybersikkerhetsforordningen viser ikke direkte til tjenester som tilbys via NISer, men til «brukere» av NISer og «andre personer». Gitt formålet til NIS2 og den vide ordlyden i cybersikkerhetsforordningen, bør ikke definisjonene av «cybersikkerhet» og «cybertrusler» innskrenke forståelsen av «hendelser» i NIS2 art. 6 (6). For samfunnet vil det være likegyldig om strømforsyningen eller sykehusdriften bryter sammen som følge av svikt i infrastrukturlaget eller annen programvare som også er avgjørende for at de samfunnsviktige tjenestene leveres.

På denne bakgrunn er det rimelig å anta at de fleste frittstående, driftskritiske programvarer som utnytter et NIS for en samfunnsviktig virksomhet, er omfattet av NIS2. Det betyr i prinsippet nesten all slik normalt driftet programvare.

Selv om ordet «software» bare forekommer åtte ganger i de 40 900 ordene NIS2 består av, vil NIS2 dermed omfatte en mange ulike typer programvare og programvare. Noen sannsynlige eksempler er programvare for administrasjon av datasenter, elektroniske pasientjournalsystemer (EPJ), nettbankplattformer, styringssystemer for smarte nett, for flåtestyring (logistikk), Altinn, robotikk-kontroll, vannbehandlingsanlegg og sporingssystemer for avfallshåndtering.

Denne typen programvarer kan være avgjørende for at samfunnet og økonomien skal fungere, og gjør at de underlegges sikkerhetskravene, risikostyringstiltakene, rapporteringsforpliktelser og samsvarskravene i NIS2.

I tillegg legger direktivet vekt på «innebygget sikkerhet» (by design, by default), noe som krever at cybersikkerhetshensyn tas fra tidlig planlegging, gjennom hele livssyklusen til disse programvareproduktene. En lignende holistisk tilnærming må anlegges for leverandørkjeden. Begge deler kommer vi tilbake til i del 2 av denne artikkelserien.

Den vide og dype rekkevidden betyr at programvareleverandører til kunder som er omfattet av NIS2, indirekte blir omfattet. For disses kunder blir det avgjørende å sørge for å kontraktuelt sikre at programvaren etterlever kravene i NIS2. Se pkt. 2.4 om leveransekjedesikkerhet. For leverandørene kan proaktiv etterlevelse gi et konkurransefortrinn.

2. Hvilke virksomheter omfattes av nis2?

2.1 Mellomstore virksomheter viktig for samfunnet omfattes

2.1.1 Hvilke sektorer er viktige?

I NIS2 annex 1 og 2 jf. listes bransjer og virksomheter som vil reguleres (se NIS2 art. 2 (1)). Virksomhetene deles i to grupper;

  1. essensielle (annex 1) og

  2. viktige («important», annex 2).

innplassert i annexene i henhold til hvor kritisk sektoren er, type tjenester virksomhetene besørger og deres størrelse. (7)Fortalepunkt 15.

Hoveddelen av virksomhetene i annex 1 var omfattet også av NIS1 fra 2016. Siden NIS1 først i disse dager skal gjøres til norsk rett (gjennom forskrift), vi vi for oversiktens skyld gjennomgå også annex 1. Se pkt. 2.1.3 og 2.1.4.

2.1.2 Hva er en mellomstor virksomhet?

Hovedregelen i NIS2 er at bare mellomstore og større virksomheter omfattes (art. 2 (1)). Definisjonen av mellomstore virksomheter fremgår av 2003/361/EF. Ifølge anbefalingens annex, art. 2 anses virksomheter med flere 50 ansatte og omsetning eller balanse over 10 MEUR som mellomstore.

Omsetning skal vurderes utfra de siste godkjente regnskaper, beregnet månedlig. Moms og skatter skal ikke regnes inn. For nystartede virksomheter skal det gjøres en godtroberegning. Se annexes art. 4.

«Ansatte» viser til årsverk, men ikke bare fra formelt sett ansatte personer, men også «eierledere» og andre. Innleide konsulenter ser imidlertid ikke ut til å omfattes. Se annexet, art. 5.

Merk at det holder om enten omsetning eller balansen er over grensen, så lenge antall ansatte er over 50.

Nivået som er satt betyr at de fleste betydningsfulle virksomheter i Europa omfattes, offentlige og private. Men i Norge vil trolig en del virksomheter som kan være viktige gå klar. Som det fremgår av pkt. 2.3 vil i mange tilfeller dette størrelseskravet likevel ikke få noen betydning, bare virksomheten er viktig nok.

2.1.3 Essensielle virksomheter (annex 1)

NIS2 utvider både innholdet i kategoriene av essensielle enheter som tidligere var omfattet av NIS1 og legger til nye hovedgrupper. I NIS2 er for eksempel offentlig administrasjon eksplisitt listet, noe den overraskende nok ikke var i NIS1, på tross av sin samfunnsviktige funksjon.(8)Men offentlige virksomheter kunne bli omfattet også av NIS1, men da utfra virksomhetsklassifisering.

Under følger en oversikt over virksomheter og bransjer som er omfattet. Opplistingen er ikke nødvendigvis uttømmende, men vil gi en oversikt. Mange av punktene viser videre til andre direktiver eller forordninger, som man kan slå opp i om man vil bore mer i ett virksomhetsområde.

Dersom disse rettsaktene gir lik eller bedre sikkerhet vil de gå foran NIS2.(9)Fortalepunkt 23. Dette innebærer at virksomheter som faller utenfor det aktuelle sektorregelverket, reguleres av NIS2.

  • Energi: All form for energiproduksjon, overføring og distribusjon, inkludert elektrisitet, fjernvarme, olje, gass og hydrogen. Kategorien energi omfatter også ladestasjoner for elektriske kjøretøy. Hydrogen og fjernvarme er nytt for i forhold til NIS1.

    • Elektrisitet: Også markedsoperatører og deltagere omfattes.

    • Fjernvarme vil typisk omfatte selskaper som Hafslund Fjernvarme.

    • Olje vil typisk omfatte virksomheter som Equinor, raffinerioperatører og rørledningsoperatører .

    • Gass vil typisk omfatte virksomheter som driver med flytende gass (LNG), naturgass, raffinering og annen behandling av gass.

    • Hydrogen vil typisk omfatte virksomheter som Norwegian Hydrogen, Greenstat og selvfølgelig Equinor.

  • Transport: Sjøtransport (hav- og innlandsfrakt, men ikke individuelle fartøy), luft- og landtransport (flyselskaper, flyplasser, luftkontroll, jernbaneinfrastruktur og togselskaper, men ikke lastebilflåteoperatører). Store deler av verdikjeden er dermed dekket, på samme måte som i NIS1. Eksempler på regulerte virksomheter er dermed Statens Vegvesen, havnevesen som Oslo havn KF. Underkategorier omfatter:

    • flyselskaper,

    • flyplasser (typisk Avinor)

    • trafikkstyring, jernbane, vanntransport og veitransport gjenstand for egne direktiver og forordninger.

  • Banker og finansinstitusjoner: NIS2 lister banker og andre finansinstitusjoner som omfattet, samtidig som det fremgår av fortalepunkt 28 at DORA skal gå foran.(10)Forordning (EU) 2022/2554 (Digital operasjonell motstandskraft for finansnæringen, DORA). En naturlig tolkning vil være at NIS2 omfatter eventuelle virksomheter i finansbransjen og systemer som ikke måtte være omfattet av DORA. Denne grensen bør gå opp av finansinstitusjoner.

  • Finansinfrastruktur: Børser og uregulerte handelsplattformer, samt infrastrukturer som Central Counterparties (CCPs).

  • Helse: Kategorien omfatter tre undergrupper, hvorav de to siste er nye i forhold til NIS1.

    • Den undergruppen første gjelder leverandører av helsetjenester, og vil typisk omfatte sykehus og legeklinikker.

    • laboratorier

    • forsknings- og utviklingsinstitusjoner for medisinske produkter, produsenter av medisiner og miksturer, produsenter av medisinsk utstyr ansett som kritisk under en offentlig helsekrise, som for eksempel pustemaskiner under covid-19-pandemien.

  • Drikkevann: Leverandører og distributører av drikkevann for menneskelig konsum. Kommunale vannverk er typiske eksempler.

  • Avløpsvann: Virksomheter som samler inn, blir kvitt eller behandler kloakk, omfattes i NIS2, som nytt i forhold til NIS1.

  • Digital infrastruktur: Basis internettinfrastruktur som internettkoblingssentraler og DNS-tjenester, IKT-forvaltningstjenester (næring-til-næring), skylagringsoperatører, datasentere, innholdsleveringsnettverk (CDN), tilbydere av tillitstjenester (elektroniske signaturer, segl, tidsstempler og sertifikater for nettstedsautentisering), og elektroniske kommunikasjonsnettverk. Betydningen av fysisk sikkerhet understrekes spesielt i fortalepunkt 31. Også dette punktet er nytt i NIS2 i forhold til NIS1.

  • IKT tjenesteleverandører: Enda en ny sektor dekket av NIS2 er leverandører av forvaltningstjenester og sikkerhetstjenesteleverandører. (11)«Managed service providers» og «managed security service providers». Denne sektoren har blitt stor, og leverer trolig broparten av slike IT og sikkerhetsrelaterte tjenester.

  • Offentlig administrasjon: Både sentral og regionaladministrasjonen omfattes, slik denne angis av nasjonal lovgivning. Også ny i NIS2.

  • Romfart: Til sist i listen i annex 1 kommer romfart, som har blitt en stor bransje som mye samfunnsviktig infrastruktur avhenger av. NIS2 introduserer derfor regulering av den bakkebaserte infrastrukturen som støtter leveranse av rombaserte tjenester. Bakkestasjoner for mottak av satellittsignaler og oppskytingsanlegg for raketter vil være eksempler på dette.

2.1.4 Viktige virksomheter (annex 2):

Den andre kategorien av virksomheter listes i annex 2 og inkluderer en rekke andre sektorer som anses som «viktige», men ikke like kritiske som de essensielle enhetene. De fleste av disse er nye med NIS2:

  • Post- og leveringstjenester: Såfremt virksomheten er en del av transportør-lenken, som for eksempel en hentetjenester, omfattes den. (12)Fortalepunkt 12. Eksempler er Posten, Postnor og budtjenester, gitt at størrelseskravet er oppfylt.

  • Avfallshåndtering: En rekke av landets større rennovasjonsselskaper vil være omfattet av NIS2.

  • Kjemisk produksjon og distribusjon: Se nærmere i den aktuelle forordningen for hvilke typer kjemikalier som er omfattet.

  • Matproduksjon, -foredling og -distribusjon: Slakterier, bakerier, fiskeoppdrettere, produsenter av ferdigmat og andre virksomheter involvert i matproduksjon, omfattes bare de er store nok. Den kanskje største vil være Orkla.

  • Tilvirkning: Virksomheter som lager:

    • Medisinsk utstyr (inkludert ikke-kritisk utstyr i en krisesituasjon) og diagnoseutstyr for bruk utenpå kroppen.(13)«utvortes» som det heter på fint.

    • Datamaskiner, elektronikk og optiske produkter.

    • Maskineri og utstyr utgjør en stor undergruppe, som omfatter 21 kategorier maskineri som for eksempel motorer, turbiner, pumper, ventilasjonsutstyr, jordbruksutstyr, næringsmiddelutstyr, traktorer, ploger, tekstilmaskiner som angitt i detalj i klassifikasjonssystemet NACE rev.2. (14)NACE: Statistical classification of economic activities in the European Community fra Eurostat

    • Motorkjøretøy, trailere og semitrailere, samt deler til disse, igjen som angitt i NACE rev. 2.

    • Annet transportutstyr, som for eksempel båter, tog, jagerfly, romskip.

  • Digitale leverandører: I likhet med NIS1 omfattes leverandører av nettbaserte markedsplasser og søkemotorer. Nytt i NIS2 er plattformer for sosiale nettverk, som Facebook og TikTok.

  • Forskning: Heller ikke forskningsorganisasjoner var omfattet av NIS1. Et eksempel kan være SINTEF. Begrunnelsen er bl.a. å unngå industrispionasje og tap av forretningshemmeligheter.(15)Fortalepunkt 88.

Omfanget av virksomheter som er omfattet av NIS2 er betydelig utvidet sammenlignet med NIS1, noe som reflekterer den økende digitaliseringen av samfunnet. Kategoriseringen av virksomheter som essensielle eller viktige reflekterer en vurdering av både viktighet og sårbarhet. For eksempel er matproduksjon svært viktig, men anses mindre sårbart, trolig fordi det er mulig å distribuere uten IT-systemer og folk ofte har beredskapslagre.

Implementeringen av NIS2 forventes å styrke Europas generelle cybersikkerhet ved å sikre at flere sektorer oppfyller strenge sikkerhetskrav og rapporteringsforpliktelser.

Kategoriseringen av virksomheter som essensielle eller viktige reflekterer en vurdering av både viktighet og sårbarhet.

2.2 Nærstående selskaper uten særlig selvstendighet omfattes

For å gjøre NIS2 reelt virkningsfullt reguleres også konsernforhold og mindre nære selskapstilknytninger, slik at også såkalte:

  1. «lenkede selskaper» og

  2. «partner-selskaper»

omfattes. Se NIS2 art. 3 (1) a som viser til anbefaling 2003/361/EF art. 2. (16)Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (Text with EEA relevance) (notified under document number C(2003) 1422) https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CElEX:32003H0361

Lenkede selskaper er slike som den regulerte virksomheten kontrollerer via majoritetseierskap, stemmerett, avtale eller på annen måte. Typisk vil være aksjeeiereierskap over 50 %, slik som situasjonen vil være for datterselskaper. Se anbefalingen art. 3 (3).

Partnerselskaper er selskaper med løsere finansiell eller kontrollmessig tilknytning. Grensen er satt på 25 % eierandel eller annen kontroll, vurdert som for lenkede selskaper.

Uavhengige virksomheter er slike hvor ingen virksomhet har over 25 % kontroll, og omfattes ikke av NIS2 via denne indirekte reguleringen.

NIS2 nevner ikke eksplisitt at linkede og partnervirksomheter skal telles med ved beregning av virkeområde, men fortalepunkt 16 indikerer at det er tilfelle. Se under om dette.

Det er verdt å merke seg at et tilleggsvilkår for at NIS2 skal gjelde er at de lenkede og partnerselskapene har en viss nærhet i sin tilknytning. For å unngå en uforholdsmessig stor rekkevidde av NIS2, skal grad av selvstendighet vurderes. Av NIS2 fortalepunkt 16 følger:

«In order to avoid entities that have partner enterprises or that are linked enterprises being considered to be essential or important entities where this would be disproportionate, Member States are able to take into account the degree of independence an entity enjoys in relation to its partner or linked enterprises when applying Article 6(2) of the Annex to Recommendation 2003/361/EC. In particular, Member States are able to take into account the fact that an entity is independent from its partner or linked enterprises in terms of the network and information systems that that entity uses in the provision of its services and in terms of the services that the entity provides. […]» [mine uthevinger]

Dermed får vi en avveining både av størrelse og nærhet.

Partner og tilknyttede selskaper må med dette ofte inkludere størrelsen på morselskapet og omvendt, men vurdering må gjøres. Reglene om nærhet og rekkevidde kan suppleres av nasjonale regler.

Selskaper som ikke omfattes via anbefalingen om tilknyttede virksomheter, kan naturligvis omfattes direkte om NIS2 øvrige vilkår skulle være oppfylt. For eksempel kan mindre virksomheter være betydningsfulle, noe vi skal se på i neste kapittel.

2.3 Mindre virksomheter med særlig kritisk funksjon omfattes

Nesten halve NIS 2 art. 2 regulerer hvilke virksomheter som er omfattet av direktivet uansett størrelse. Begrunnelsen er naturligvis at en rekke mindre virksomheter kan være samfunnskritiske.

Det er særlig interessant å merke seg tredje ledd, som sier at virksomheter som omfattes av EU-direktivet 2022/2257 skal omfattes uansett størrelse. Dette direktivet overlapper stort sett med NIS2 annex 1. Det betyr at størrelsesbegrensning blir mindre viktig for annex 1-virksomheter. Eksakt hvilke virksomheter som skal omfattes skal bestemmes i EU av myndighetene innen 17. juli 2026. Hva som vil gjelde i Norge, får vi nok vite først senere.

Andre ledd i art. 2 nevner følgende virksomheter som skal være omfattet uansett størrelse:

  • Leverandører av offentlige tilgjengelige digitale kommunikasjonsnettverk og tjenester, som for eksempel internettleverandører som sørger for at brukere får tilgang til internett (a–i).

  • Tillitstjeneste-leverandører, som nærmere regulert under i (EU) 910/2014 eIDAS-forodningen implementert i lov om elektroniske tillitstjenester (L15.06.2018 nr. 44), for eksempel virksomheter som leverer elektroniske signaturer og leverandører av sertifisering av nettsteder for å sikre autentisitet og sikkerhet (a–ii).

  • Topnivå domene registrarer, som Norid (a–iii).

  • Eneleverandører av tjenester for opprettholdelse av kritiske sosiale og økonomiske aktiviteter, for eksempel leverandører av stamnett og primærsamband, som Telenor (b).

  • Leverandører der tjenesteforstyrrelser kan påvirke offentlig sikkerhet og helse, som for eksempel Telenors ruting av nødnumre (110, 112, 113) etter nummerforskriften av 2004 (c).

  • Leverandører av tjenester som kan påføre «vesentlig høy risiko», særlig for sektorer som kan påvirkere flere land, som for eksempel underleverandører til en kraftdistributør (d).

  • Leverandører som er kritiske på grunn av sin særlige viktighet nasjonalt eller regionalt, for særlige typer sektorer eller type tjenester (e). Dette kan for eksempel være NIX (Norwegian Internet eXchange).

  • Utpekte offentlige virksomheter i sentral- og regionaladministrasjonen i henhold til risiko og som angitt i nasjonal rett (f).

Fjerde ledd i art. 2 nevner også domenenavn registratorer, som for eksempel Domeshop.

NIS2 utvider dermed beskyttelseskravene til et bredt spekter av enheter og tjenester for å sikre robusthet i den digitale infrastrukturen i Europa.

2.4 Selskaper i leveransekjeden må omfattes

Mange angrep starter hos underleverandørene til virksomheter. Forsyningskjedesikkerhet blir dermed en kritisk for å oppnå tilfredsstillende sikkerhet hos energiselskaper, transportører og andre omfattede virksomheter. Med voldsom digitalisering og avhengighet av NISer, er det selvsagt at NIS2 dermed stiller krav også til styring av sikkerheten i leverandørkjeden. Vi skal se på kravene til den sikringen, kort diskutere svakhetene i reguleringen og gi eksempler på mulige tiltak.

2.4.1 «All Hazard»-tilnærmingen

All hazard-tilnærmingen i NIS2 art. 21 (2) pålegger essensielle og viktige enheter å beskytte seg mot alle typer farer som kan påvirke sikkerheten i nettverks- og informasjonssystemer.(17)Dansk NIS2 art. 21 (2): 2.«De i stk. 1 omhandlede foranstaltninger baseres på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser, og mindst omfatter følgende:» Denne tilnærmingen krever en omfattende vurdering av potensielle trusler, inkludert de som oppstår i forsyningskjeden. Kravet gjelder også NISenes fysiske omgivelser, og kan omfatte sikring mot tyveri, brann, flom, uautorisert fysisk tilgang, jordskjelv, eksplosjoner og sabotasje.

Ved å regulere sikkerheten i forsyningskjeden, kan offentlige og private virksomheter redusere risikoen for at svakheter hos underleverandører skal kompromittere hele systemet.

Art. 21 (2) lyder:

The measures referred to in paragraph 1 shall be based on an all-hazards approach that aims to protect network and information systems and the physical environment of those systems from incidents, and shall include at least the following:

(d) supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers;

[mine uthevinger]

Det mest iøynefallende i litra d er begrensningen til direkte underleverandører. En SaaS-tjeneste kan i dag lett består av fire ledd under kunden (for eksempel infrastrukturleverandør, plattformleverandør, SaaS-leverandør og systemintegrator). Da blir det viktig å merke seg at tiltakene minst skal omfatte direkte leverandør. Kravet til «all-fare-tilnærming» tilser at flere ledd i leveransekjeden må sikres for å «forhindre hændelser eller minimere deres indvirkning på modtagere af deres tjenester og på andre tjenester», slik den danske utgaven av NIS2 art. 21 (1) uttrykker det. I samme retning fastsetter NIS2 art. 1 at målet er å «opnå et højt fælles cybersikkerhedsniveau».

Dermed er det klart at virksomheter i mange tilfeller vil være ansvarlige for å sikre flere ledd nedover i leveransekjeden. Men plikten begrenses av forholdsmessighetskravet som også fremgår av art. 21 (1). Begrensningen innebærer at tiltak skal vurderes utfra risiko, «state of the art», kostnader, virksomhetenes eksponering, størrelse og sannsynlighet for hendelser, og deres alvorlighetsgrad. Samfunnsmessig og økonomisk innvirkning skal også vurderes. For eksempel vil en leverandør av et journalsystem til et sykehus forventes å ha vesentlig bedre kontroll på leverandørkjeden enn en bilforhandler.

Art. 21 (3) d skiller heller ikke mellom virksomheter i EØS og utenfor, så lenge tjenesten ytes i EØS-området.

2.4.2 Ansvar for cybersikkerhet: Hvem i kjeden bør være ansvarlig?

NIS2 art. 21 (1) slår fast at det er essensielle og viktige virksomheter som er ansvarlig for sikkerheten i NISer. Det kan være en strømprodusent, et vannverk, renovasjonsselskap eller en fiskeoppdretter. Felles for disse og mange andre omfattede virksomheter er at de oftest mangler tung programvare- og cybersikkerhetskompetanse. De vil vanligvis kjøpe systemer inn fra tredjeparter, men likevel forblir ansvaret hos virksomheten.

Et nærliggende spørsmål er derfor hvilken enhet som er best egnet til å sikre cybersikkerheten i forsyningskjeden og hvordan denne bør og kan gjøres ansvarlig. Hovedleverandøren av produktet i forsyningskjeden vil ofte være den som er best posisjonert til å overvåke og sikre hele kjeden. Hovedleverandøren bygger systemet, har direkte kontakt med sine underleverandører og vet mye om hvilke under­leverandører disse under­leverandørene igjen benytter. Med en del innsats kan kontroll over hele leveransekjeden kanskje oppnås. For renovasjonsselskapet, vannverket og andre virksomheter vil denne jobben være vesentlig tyngre, og i mange tilfeller praktisk talt umulig.

En bedre regulering kunne dermed vært å pålegge ansvar direkte til aktørene i leveransekjeden. Dette er løsningen som personvernforordningen (pvf.) introduserte ved å gjøre ikke bare behandlingsansvarlige ansvarlige (som tidligere), men pålegge også databehandler plikter. Siden NIS2 er et minimumsdirektiv, vil en slik tilnærming være mulig i Norge, men neppe særlig effektiv uten at øvrige land i EØS implementerer en lik regel.

Den nye forordningen om Digital operasjonell motstandskraft for finansnæringen (DORA) har tatt logikken i pvf. et skritt videre, og inkorporer reguleringen av avtaler med underleverandører i en rekke bestemmelser.(18)Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011. Trådte i kraft i EU 17. januar 2025. Fortalepunkt 29 gir en innføring i tankegangen. Det er litt overraskende at ikke NIS2 har vært grundigere på dette området.

Det er litt overraskende at ikke NIS2 har vært grundigere på dette området.

2.4.3 Kontraktuelle tiltak

NIS2s ordning er derimot basert på at den regulerte virksomheten iverksetter tiltak overfor sine leverandører. Av NIS2 fortalepunkt 85, fremgår det at kontrakter er et mulig slikt tiltak, på samme måte som databehandlingsavtaler er det etter pvf. art. 28. NIS2 stiller imidlertid ikke et eksplisitt krav til videre sikring nedover i kjeden slik pvf. art. 28 (4) gjør. Men gitt kravene til «all-fare»-tilnærmingen, er dette et kontraktuelt grep omfattede virksomheter bør vurdere for å få kontroll flere ledd ned i kjeden. Slike krav kan omfatte:

  • Krav om overholdelse av spesifikke sikkerhetsstandarder og -protokoller.

  • Regelmessige sikkerhetsvurderinger og revisjoner.

  • Opplæring i cybersikkerhet for ansatte hos leverandører.

  • Strenge retningslinjer for informasjonsdeling og tilgangskontroll.

Implementeringen av slike kontraktsmessige krav sikrer at alle leverandører, uavhengig av deres størrelse eller plass i forsyningskjeden, oppfyller de nødvendige sikkerhetsstandardene. Dette bidrar til å skape bedre sikkerhet.

2.4.4 Andre tiltak

Siden det ofte ikke vil være mulig for en omfattet virksomhet, og kanskje heller ikke for en hovedleverandør i kjeden, å sikre alle ledd, bør man tenke alternativt. Mest nærliggende er å sørge for at løsningen vil være sikker selv om ledd nedover i kjeden blir kompromittert. Sikring kan skje gjennom robust sikkerhetsstruktur, overvåkning, redundans og opplæring, for å nevne noen eksempler. Her vil en sikkerhetsekspert kunne bidra med verdifulle råd.

2.5 Unntak

Som vanlig gjøres unntak fra direktivets anvendelsesområde for offentlig administrasjon innenfor nasjonal sikkerhet, ordensmakten, forsvar og rettsvesen (NIS2 art. 2 (6) og (7)).

Noter

  1. DIRECTIVE (EU) 2022/2555 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive).
  2. NIS2 art. 2 og 3, annex 1 og 2, ikke medregnet forordninger og direktiver vist til eller fotnoter.
  3. Direktiv (EU) 2016/1148.
  4. IKT-forskriften av 2003 har i mellomtiden vært det nærmeste vi har kommet et generelt cybersikkerhetsregelverk for norske virksomheter, selv om det er rettet inn mot finansbransjen. Ellers har vi hatt sektorbasert regulering, som vil bestå ved siden av NIS2.
  5. L20.12.2023 nr. 108 Lov om digital sikkerhet.
  6. Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
  7. Fortalepunkt 15.
  8. Men offentlige virksomheter kunne bli omfattet også av NIS1, men da utfra virksomhetsklassifisering.
  9. Fortalepunkt 23.
  10. Forordning (EU) 2022/2554 (Digital operasjonell motstandskraft for finansnæringen, DORA).
  11. «Managed service providers» og «managed security service providers».
  12. Fortalepunkt 12.
  13. «utvortes» som det heter på fint.
  14. NACE: Statistical classification of economic activities in the European Community fra Eurostat
  15. Fortalepunkt 88.
  16. Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (Text with EEA relevance) (notified under document number C(2003) 1422) https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CElEX:32003H0361
  17. Dansk NIS2 art. 21 (2): 2.«De i stk. 1 omhandlede foranstaltninger baseres på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser, og mindst omfatter følgende:»
  18. Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011. Trådte i kraft i EU 17. januar 2025. Fortalepunkt 29 gir en innføring i tankegangen.
Kristian Foss
Portrett av Kristian Foss