Gå til innhold

Lov&Data

2/2025: Artikler
20/06/2025

NIS2: Hvilke konkrete sikkerhetskrav gjelder?

Del 2 i artikkelserien om cybersikkerhet og NIS2

Av Kristian Foss, BULL Advokatfirma og cybersikkerhetsekspert og Christer Berg Johannesen, rådgiver og spesialist i cybersikkerhet, dataetterforskning og hendelseshåndtering, Conscia Norge AS.

NIS2-direktivet (Network and Information Systems) er en oppdatert versjon av NIS-direktivet fra 2016 som ble etablert for å styrke cybersikkerhet og motstandskraften til nettverks- og informasjons-systemer i EØS. Artikkel 21 i NIS2-direktivet stiller krav til sikkerhetstiltak som må iverksettes av tilbydere av tjenester som er essensielle og viktige for våre samfunnsfunksjoner.

Innledning

I del 1 av artikkelserien NIS2: Hvilke virksomheter og leveranser vil omfattes av fremtidens krav til cybersikkerhet infrastruktur? om NIS2 tok vi for oss hvilke virksomheter og leveranser som omfattes av direktivet. I denne del 2 av serien går vi inn på hvilke sikkerhetskrav direktivet stiller, og konkrete forslag til tiltak som offentlige og private virksomheter kan iverksette for å oppfylle kravene.(1)Siden direktivet ikke enda er implementert i norsk rett (eller høringsnotatet publisert), vet vi ikke hvordan kravene vil se ut for Norges del. Men fordi NIS2 er et minimumsdirektiv, skal ikke kravene blir lavere enn det som følger av direktivet.

Målgruppen for artikkelen er alle som berøres av NIS2, men særlig jurister, sikkerhetsledere og IT- og OT-ansvarlige som ikke nødvendigvis har teknisk bakgrunn, men som likevel har ansvar for organisasjonens cybersikkerhet.(2)OT: Operasjonell teknologi.

Illustrasjon: Colourbox.com

NIS2 artikkel 21 stiller sikkerhetskravene

Formålet med NIS2 er at virksomheten iverksetter tiltak som fungerer i praksis og at disse kan dokumenteres. Etterlevelse forutsetter mer enn teknologi: Også forankring i ledelsen, risikoforståelse og en systematisk tilnærming.

NIS2 bygger på et «alle-farer»-prinsipp. Det innebærer at tiltakene som innføres må ta høyde for trusler fra flere hold, både fysiske og logiske. NIS2 art. 21 (2) leser:

«The measures referred to in paragraph 1 shall be based on an all-hazards approach that aims to protect network and information systems and the physical environment of those systems from incidents, and shall include at least the following:» [vår utheving]

Uttrykket «at least» betyr at et selskap kan være forpliktet til å iverksette andre og flere tiltak enn de som er listet opp i art. 21 (2), hvis det er nødvendig for å møte «alle farer» og for å «forhindre eller minimere virkningen av hendelser på mottakere av deres tjenester og andre tjenester.», som det heter i artikkel 21 (1).

For eksempel, hvis uavbrutt elektrisk strøm er nødvendig for å forhindre et cyberangrep eller fysisk angrep på et produksjonsanlegg, kan virksomheten måtte installere reservestrøm, via redundant tilkobling eller generator.

Uttrykket «at least» betyr at et selskap kan være forpliktet til å iverksette andre og flere tiltak enn de som er listet opp i art. 21 (2).

Risikovurdér for å forstå

For å forstå hvilke farer som finnes og hvor alvorlige de er, skal slike scenarier kartlegges i risikoanalysefasen. En slik risikoanalyse skal munne ut i en tiltaksplan som sørger for at tiltakene blir forholdsmessige i forhold til risikoen. Denne risikobaserte tilnærmingen er formulert slik i NIS art. 21 (1):

«Member States shall ensure that essential and important entities take appropriateand proportionatetechnical, operational and organisational measures to manage the risks posed tothe security of network and informationsystemswhich those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services.» [vår utheving]

Minimumstiltakene som skal iverksettes i henhold til NIS2 art. 21 (2) fremgår av en liste på 10 tiltak eller grupper av tiltak. De fleste tiltakene har til felles at de ikke er konkrete nok til at normale virksomheter forstår hva de skal gjøre. Etter oppsummeringen konkretiserer vi kravene.

Kravene oppsummert

Sikkerhetskravene som artikkel 21 (2) fastsetter, inkluderer blant annet:

  • Risikovurdering og styring: Virksomheter må gjennomføre regelmessige risikovurderinger for å identifisere potensielle sikkerhetstrusler og svakheter i nettverks- og informasjonssystemer.

  • Beskyttelse: Tiltak må iverksettes for å beskytte nettverks- og informasjonssystemer mot uautorisert tilgang, endringer, tap, skade eller ødeleggelse.

  • Oppdagelse: Organisasjoner må ha mekanismer for å oppdage og analysere sikkerhetshendelser og trusler.

  • Respons og gjenopprettelse: Tiltak må være på plass for å reagere på sikkerhetshendelser og gjenopprette systemer til normal drift.

  • Sikkerhetsbevissthet og opplæring: Ansatte må være opplært i cybersikkerhet og informert om beste praksis for å minimere risiko.

I tillegg inneholder NIS2 krav til rapportering o.a. ikke direkte sikkerhetsrelaterte krav, som vi ikke går inn på nå.

Tiltakene skal som nevnt bygge på en helhetlig risikobasert tilnærming og stå i forhold til virksomhetens eksponering og samfunnskritikalitet. Dette må man ha i bakhodet når man vurderer de 10 tiltakspunktene, som gjelder både essensielle og viktige virksomheter:

Konkrete krav og etterlevelse

Følgende mer eller mindre konkrete minimumskrav for sikkerhet angis i NIS2 art. 21 (2), forsøksvis konkretisert av oss:

Bokstav a – Risikoanalyse og sikkerhetspolicyer

«policies on risk analysis and information system security;»

Virksomheter som omfattes av NIS2-direktivet, plikter å gjennomføre en grundig og regelmessig vurdering av risikoene som kan true informasjonssystemene sine. Vurderingen bør omfatte både ytre og indre trusler, tekniske og organisatoriske sårbarheter, samt mulige konsekvenser for virksomheten og samfunnet ved bortfall av tjenester. Herunder bør virksomheten utarbeide og holde oppdatert en overordnet sikkerhetspolicy som tydelig fastsetter hvordan risiko håndteres.

Vurderingen bør omfatte både ytre og indre trusler, tekniske og organisatoriske sårbarheter, samt mulige konsekvenser for virksomheten og samfunnet ved bortfall av tjenester.

Et sentralt prinsipp er at sikkerhetstiltak må justeres fortløpende i takt med endringen av trusselbildet. Prinsippet innebærer at virksomheter ikke kan stole på tidligere vurderinger, men må sørge for kontinuerlig forbedring og tilpasning av sikkerhetsarbeidet, i tråd med beste praksis og aktuelle trusselvurderinger.

Krav:

  • Minst én risikovurdering per år.

  • Oppdatert og virksomhetstilpasset sikkerhetsrutine.

Mål:

  • Sikre at virksomheten har et oppdatert risikobilde og et dokumentert styringssystem for informasjonssikkerhet.

Mulige tiltak:

  • Benytt anerkjente rammeverk som:

    • ISO/IEC 27001

    • NSMs grunnprinsipper

    • CIS Controls

  • Dokumenter sikkerhetsmål, roller, ansvar og styringsstrukturer.

  • Innhent og bruk trusselvurderinger fra NorCERT, ENISA og/eller egne tjenesteleverandører.

  • Etabler rutiner for å revidere og oppdatere sikkerhetsrutiner ved vesentlige endringer i trusselbildet.

  • Sørg for ledelsesforankring og godkjenning av rutiner og risikovurderinger.

Bokstav b – Hendelseshåndtering

«incident handling»

Artikkel 21 (2) bokstav b krever at virksomheter skal ha etablerte og dokumenterte planer for håndtering av sikkerhetshendelser. Formålet er å sikre at organisasjonen raskt og effektivt kan identifisere, håndtere og begrense konsekvensene av digitale angrep og alvorlige sikkerhetsbrudd.

Evnen til effektiv hendelseshåndtering forutsetter tydelig definerte roller og ansvar, både internt og med eventuelle eksterne partnere, samt at rutinene jevnlig testes og forbedres. Dette gir virksomheten evne til å handle målrettet ved en hendelse, og sørger for at nødvendige varsler og tiltak kan iverksettes uten unødig forsinkelse.

Sentralt står også samhandling med relevante myndigheter, som Nasjonal sikkerhetsmyndighet, (NSM, ved NorCERT) eller de respektive sektorers CERT, f.eks. HelseCERT (helsesektoren), FinansCERT (finanssektoren) og KraftCERT (energisektoren).(3)CERT: Computer Emergency Response Team – Team for å lede og ivareta håndtering av hendelser. I tillegg må virksomhetene ha beredskap for å aktivere støtte fra eksterne eksperter.

Mulige krav:

  • Utarbeid og dokumenter hendelseshåndteringsplan.

  • Klare ansvarsforhold og varsling til relevante myndigheter.

  • Øvelser og kontinuerlig forbedring.

Mål:

  • Rask respons og minimal skade ved sikkerhetshendelser.

  • Samordnet innsats internt og eksternt.

  • Overholdelse av varslingsplikt i henhold til NIS2 (og eventuelle andre regelverk).

Mulige tiltak:

  • Etabler interne og eksterne varslingsrutiner (til NSM, SektorCERT, o.l.).

  • Forhåndsavtale med leverandører av DFIR/IR-tjenester.

  • Implementer bruk av verktøy for EDR(4)Endpoint Detection and Response – System for å detektere avvik på endepunkter (server, arbeidsstasjon, mobile enheter, o.l.) / XDR(5)Extended Detection and Response – System for å oppdage avvik på endepunkter, men som i tillegg kan avdekke mer komplekse angrep gjennom utvidet bruk av automasjon og korrelasjon av data fra ulike kilder., SIEM(6)Security Information and Event Management – System for å samle og analysere logger og hendelser på tvers av hele IT-miljøet., o.l. for å sikre tidlig varsling og respons.

Bokstav c – Beredskap

«business continuity, such as backup management and disaster recovery, and crisis management;»

Virksomheter må sikre at sin evne til å fortsette driften ved alvorlige hendelser ikke svekkes (for mye). Kravet innebærer å ha en tydelig beredskapsplan som dekker hvordan man skal håndtere alvorlige avbrudd forårsaket av for eksempel cyberangrep, naturkatastrofer eller tekniske feil som rammer datasentre, nettverk eller andre kritiske systemer. Løsningene for sikkerhetskopiering og gjenopprettelse bør være dokumenterte og testede. Strukturen bør sikre at tjenestene kan opprettholdes eller gjenopptas innen akseptabel tid.

Mulige krav:

  • Etablerte og vedlikeholdte planer for beredskap (BCP(7)Business Continuity Plan – Plan for å sikre videreføring av kritiske forretningsprosesser under/etter hendelser.), og/eller

  • Katastrofeberedskap (DRP(8)Disaster Recovery Plan – Plan for å gjenopprette IT-systemer og data etter større hendelser / systemsammenbrudd.), samt

  • Sikkerhetskopieringsmekanismer som testes regelmessig.

Mål:

  • Sikre at virksomheten raskt kan gjenoppta tjenester og beskytte kritisk informasjon ved hendelser som truer driften.

Mulige tiltak:

  • Etabler og vedlikeholdsplaner for forretningskontinuitet og gjenopprettelse, med tydelige roller og prosesser.

  • Test planene jevnlig gjennom simulerte scenarioer (for eksempel løsepengeangrep eller tap av sentrale dataressurser). Det vil si; hold øvelser regelmessig.

  • Bruk offline sikkerhetskopier og sikre «immutability»(9)Oversatt betyr ordet «udødelighet», og betyr i denne sammenheng at data ikke kan slettes, selv ikke av administrator, og at der finnes «ekte» slettebeskyttelse. , sikret med flerfaktorautentisering (MFA).

  • Sikre redundans i kritisk infrastruktur, inkludert strøm, nettverk og tjenester.

  • Gjennomfør regelmessig revisjon av gjenopprettingsprosesser.

Konkret hva som er riktig for den enkelte virksomhet, avhenger av den risikoen som er avdekket.

Bokstav d – Leverandørkjedesikkerhet

«supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers»

Leverandørkjeder er kritiske og sårbare. Kjedene er i dag ofte lange og man er avhengig av at de fungerer, gjerne i sanntid. Derfor må også leverandører virksomhetene er avhengige av for sin drift også etterleve relevante sikkerhetskrav. Typiske eksempler er ved utsetting av tjenester (outsourcing) eller ved bruk av skyløsninger og programvare levert som tjeneste (SaaS).

Bestemmelsen angir bare ‘direkte leverandører’, men kravet utgjør bare et gulv - et minimumskrav – på grunn av formuleringen «at least».Sikring flere nivåer ned kan våre påkrevet om en riktig risikovurdering tilsier det. Kravet betyr at virksomheten må ta et aktivt ansvar for sikkerheten så langt ned i leverandørkjeden som nødvendig, så lenge underleverandørene kan påvirke virksomhetens evne til å forebygge, oppdage eller håndtere sikkerhetshendelser.

Kjedene er i dag ofte lange og man er avhengig av at de fungerer, gjerne i sanntid.

For å etterleve kravet må virksomheten etablere klare krav og kontroller i avtaler, og den må jevnlig følge opp og vurdere sikkerhetsnivået hos leverandørene.

Mulige krav:

  • Oversikt over alle kritiske (og viktig) leverandører.

  • Dokumenterte sikkerhetskrav i kontrakter og SLA-er.

  • Jevnlig vurdering og kontroll av leverandørenes sikkerhetsnivå.

Mål:

  • Redusere risiko for sikkerhetsbrudd forårsaket av tredjepart.

  • Sikre at eksterne aktører ikke svekker virksomhetens drift.

  • Etablere sporbarhet og ansvarlighet i leverandørkjeden.

Mulige tiltak:

  • Kartlegg og klassifiser alle kritiske leverandører (for eksempel innen drift, IaaS(10)Infrastructure as a Service - Infrastruktur levert som en tjeneste, f.eks. via en skyløsning., maskinvare og programvare).

  • Inkluder eksplisitte sikkerhetskrav i avtaler, med referanser til anerkjente standarder.

  • Still krav om revisjoner, sikkerhetssertifiseringer og rapporter (som SOC 2 Type II eller tilsvarende) i avtaler og ved anskaffelser.

Bokstav e – Sikkerhet ved anskaffelser, utvikling og vedlikehold

«security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure;»

Bestemmelsen stiller krav til at innkjøp, utvikling og vedlikehold av nettverks- og informasjons-systemer ivaretar informasjonssikkerhet fra starten av og gjennom hele livssyklusen til systemet. Dermed må man planlegge anskaffelsen og utviklingen, og stille tydelig krav før handelen skjer. Samtidig bør man sikre at vedlikeholdet opprettholder sikkerhet over tid. I praksis bør vedlikeholdsavtalen inngås før anskaffelsen eller utvikling avtales. En slik helhetlig tilnærming vil normalt også gi det beste kommersielle resultatet også, siden leverandøren da normalt vil være i en konkurransesituasjon.

Mulige krav:

  • Etterlevelse av prinsipper for «innebygget sikkerhet» («security by design»).

  • Gjennomgang av kildekode og testing for kjente sårbarheter (SAST/DAST).

  • Virksomheten skal ha rutiner for sikker oppdatering, versjonskontroll og håndtering av sårbarheter.

Mål:

  • Redusere risiko for sikkerhetshull og kompromittering via programvare.

  • Sikre at systemer som tas i bruk, er vurdert for sikkerhet før implementering.

  • Opprettholde tillit til digitale løsninger gjennom kontrollert vedlikehold.

Mulige tiltak:

  • Innfør tydelige anskaffelseskrav som inkluderer sikkerhetsvurderinger og standarder.

  • Still krav om regelmessig sårbarhetstesting og innsyn i kildekode ved behov.

  • Etabler faste prosedyrer for sikker programvareoppdatering («patching») og sporbar versjonshåndtering.

Bokstav f – Cybersikkerhetsstyring, prosedyrer og vurdering av effektivitet

«policies and procedures to assess the effectiveness of cybersecurity risk-management measures;»

Virksomheter som er underlagt NIS2-direktivet skal etablere formelle styringssystemer og prosedyrer for cybersikkerhet, for å vurdere virkningen av sikkerhetstiltakene. Prosessen vil tvinge virksomheten til å tenke igjennom hvordan den arbeider med sikkerhet, og samtidig dokumentere innsatsen.

Mulige krav:

  • Formaliserte rutiner og retningslinjer for cybersikkerhet.

  • Ledelsesforankring og regelmessig rapportering.

  • Etterprøvbare prosedyrer og kontinuerlig forbedring.

Mål:

  • Integrere cybersikkerhet i virksomhetens styringsmodell.

  • Sikre kontinuitet, sporbarhet og ansvarlighet i sikkerhetsarbeidet.

  • Redusere risiko gjennom helhetlig kontroll og styring.

Mulige tiltak:

  • Etablering av et ISMS (Information Security Management System).

  • Bruk av GRC-verktøy (styring, risiko og etterlevelse).(11)Fra engelsk: Governance, risk & compliance.

  • Gjennomføre interne revisjoner og gjennomgang med ledelsen.

  • Bruke rådgivere for å etablere et godt system.

Bokstav g – Cyberhygiene og opplæring

«basic cyber hygiene practices and cybersecurity training;»

Fortalen til NIS2 nevner følgende eksempler på grunnleggende sikkerhet:(12)Fortalepunkt 89

  • Zero-trust-prinsipper,(13)Zero-trust-prinsipper betyr at ingen brukere, enheter eller systemer får tillit uten verifisering – uansett om de er inne eller utenfor virksomhetens nettverk eller systeminfrastruktur.

  • programvareoppdatering,

  • enhetskonfigurasjon,

  • nettverkssegmentering,

  • identitet og tilgangsstyring, og

  • brukerbevisstgjøring, og opplæring av personellet sitt om […] cybertrusler.

Virksomheten skal videre vurdere egne cybersikkerhetsevner, og sikkerhetsteknologi, herunder kunstig intelligens og maskinlæring for å bedre sine evner og sikkerhet i nettverk og informasjonssystemer.

Virksomheten skal videre vurdere egne cybersikkerhetsevner.

Standarder som NSMs grunnprinsipper for IKT-sikkerhet vil beskrive flere grunnleggende sikkerhetspraksiser. Slik sett kan bokstav g) ses på som en bunnpanne, som tilpasses konkret risiko.(14)Se også erfaringsrapporten «Ti sårbarheter i norske IKT-systemer» fra NSM: https://nsm.no/getfile.php/1313387-1700026023/NSM/Filer/Dokumenter/Rapporter/Ti%20s%C3%A5rbarheter%20i%20norske%20IKT-systemer.pdf

Mulige krav:

  • Som listet opp over fra fortalen.

  • Relevante sikkerhetsstandarder for den aktuelle virksomhetstypen.

  • Dokumentasjon av gjennomførte tiltak.

Mål:

  • God grunnleggende sikkerhet.

  • Øke ansattes evne til å gjenkjenne og håndtere trusler som sosial manipulasjon og phishing.

  • Forhindre at enkle feil eller ubevisste handlinger fører til alvorlige hendelser.

  • Integrere sikkerhetstenkning i daglige arbeidsrutiner.

Mulige tiltak:

  • Bruk passordrutiner, multifaktorautentisering (MFA), oppdatert antivirus og klientkontroll.

  • Gjennomfør opplæring i sosial manipulering, phishing og digital adferd.

  • Simuler angrep

  • Gjennomfør praktisk bevissthetsopplæring for å styrke kompetanse og overvåkenhet.

  • Bruk av konfigurasjonsverktøy og systemer for automasjon, f.eks. IaC, systemer for digital sikkerhetsetterlevelse («sikkerhetsbaseline»), sikker distribusjon og versjonskontroll, sikker programvareforsyningskjede (herunder også leverandørkontroll og tredjepartsstyring(15)Tredjepartsstyring, ofte forkortet til TPRM (Third-Party Risk Management), er en systematisk prosess for å identifisere, vurdere, overvåke og redusere risiko knyttet til eksterne leverandører, underleverandører og partnere.), samt kontinuerlig systemovervåkning og sikring av dataintegritet.(16)Infrastructure as Code – En metode hvor infrastruktur konfigureres og administreres ved hjelp av «kode», i stedet for manuelle prosesser.

  • Ivareta prinsipper for «security by design» og «security by default» i alle leveranser.

  • Verifiser og valider komponenter før driftsetting.

Bokstav h – Rutiner for kryptering og databeskyttelse

«policies and procedures regarding the use of cryptography and, where appropriate, encryption;»

Større virksomheter bør etablere rutiner og prosedyrer for bruk av kryptografi og kryptering. Igjen vil arbeidet med dette bevisstgjøre virksomhetene ved fastsettelse av krav og valg av løsning. Hvordan rutinene vil se ut, vil avhenge av utfallet av risikovurderingen.

Igjen vil arbeidet med dette bevisstgjøre virksomhetene ved fastsettelse av krav og valg av løsning.

Mulige innhold i rutinen:

  • Data bør krypteres med minst 256-bits både under lagring og under overføring.(17)AES.256 er mye brukt.

  • Krav til type teknologi, kildeland og leverandør.

  • Hvordan nøkkelhåndtering skal skje (for eksempel bør den private nøkkelen være i Norge under kontroll av virksomheten).

Mål:

  • Sikre sikker, effektiv og konsistent bruk av kryptering for å forhindre uautorisert tilgang og datalekkasjer.

  • Sikre pålitelig og sikker behandling av informasjon.

  • Etablere tillit hos kunder og samarbeidspartnere.

Tiltak:

  • Utarbeide rutine med prosedyre for kryptering.

  • Hente inn bistand fra spesialister.

  • Bruke sikre nøkkelhåndteringssystemer, fortrinnsvis HSM (Hardware Security Modules).

Bokstav i – Styring og administrasjon eiendeler, personell og tilganger

«human resources security, access control policies and asset management»

Bokstav i) griper fatt i tre forhold som i praksis kan være avgjørende for sikkerheten:

  1. personer,

  2. tilgangskontroll og

  3. aktivakontroll.

Menneskelige feil er en betydelig årsak til sikkerhetsbrudd. Hele 95 % av sikkerhetsbrudd involverer menneskelige feil, inkludert innsidetrusler, feil bruk av legitimasjon og brukerrelaterte feil. Av disse er et flertall forårsaket av manglende kunnskap og overvåkenhet. Ifølge en studie fra Stanford University og Tessian, skyldes 88% av brudd på datasikkerheten ansattfeil (dvs. «interne» årsaker). Enkelte brudd er forårsaket av uærlige eller kriminelle medarbeidere, som misbruker privilegier (tilgangsrettigheter), bruker stjålet legitimasjon eller benytter sosial manipulasjon for å oppnå tilgang.

Av den grunn viser fortalen i NIS2 til at personellsikkerhetstiltakene skal være i samsvar med direktiv for motstandsdyktighet i kritiske enheter (CER).(18)Critical Entities Resilience Directive (CER), Directive (EU) 2022/2557. https://eur-lex.europa.eu/eli/dir/2022/2557/oj/eng#enc_1(19)NIS2 fortale punkt77 «[…] The cybersecurity risk-management measures should therefore also address the physical and environmental security of network and information systems by including measures to protect such systems from system failures, human error, malicious acts or natural phenomena, in line with European and international standards, such as those included in the ISO/IEC 27000 series. In that regard, essential and important entities should, as part of their cybersecurity risk-management measures, also address human resources security and have in place appropriate access control policies. Those measures should be consistent with Directive (EU) 2022/2557 [CER]».(våre uthevinger)CER regulerer sikkerhetskrav for en rekke av virksomhetene omfattet av NIS2, men med fysisk fokus. CER er enda ikke implementert i norsk lov.

Det fremgår en rekke krav av CER. Et av de praktisk viktigste er muligheten for å bakgrunnskontrollere ansatte. I dag er muligheten til å kreve politiattest begrenset. Med CER, og NIS2, er det grunn til å vente seg at kretsen utvides vesentlig. Virksomheter som er opptatt av bedre kontroll ved ansettelser, kan vurdere å avgi en høringsuttalelse ved implementering av NIS2 og CER i norsk lov.

For å ha sikre systemer må man videre vite hva man har av eiendeler (aktiva) og hvilke tilganger disse har. Også for tilgangskontroll viser fortalen i NIS2 til CER. CER art. 13 never en rekke tiltak, som å hindre hendelser fra å inntre, iverksette passende fysisk sikkerhet og gjenopprettelse. Som for mange av tiltakene angitt i NIS2 gir dette begrenset veiledning.

Mulige krav:

  • Tilgang til systemer skal være basert på rollen medarbeideren fyller og nødvendighet (minste privilegium, som betyr at man ikke skal ha mer tilgangsprivilegier enn nødvendig for å gjøre jobben).

  • Rutiner for tilgang til systemer ved tiltredelse, endring av rolle og fratredelse skal finnes.

  • Tilgangsrettigheter skal kontrolleres og revideres jevnlig.

Mål:

  • Forhindre uautorisert tilgang til systemer og data.

  • Redusere risiko ved interne trusler og feil.

  • Sørge for sporbarhet og etterlevelse.

Mulige tiltak:

  • Implementer rollebasert tilgangskontroll (RBAC(20)Role-Based Access Control – Rollebasert tilgangskontroll, som betyr at brukere får tilgang til systemer og data basert på rollen sin i organisasjonen.) og IAM(21)Identity and Access Management – System for styring av identitet og tilgang.-verktøy for tilgangsstyring.

  • Gjennomføre periodisk revisjon av tilganger og overvåk brukeratferd.

  • Gjøre bakgrunnskontroll ved nyabsettelser eller endringer til sensitive stillinger (så langt loven tillater).

  • Implementere rutiner for hendelseshåndtering.

  • Etablere klar offboarding-prosess inkludert fysisk adgangskontroll.

  • Bevisstgjør innehavere av ansvarlige roller om kravene.

Bokstav j – MFA og sikker kommunikasjon

«the use of multi-factor authentication or continuous authentication solutions, secured voice, video and text communications and secured emergency communication systems within the entity, where appropriate.»

Det siste kravet i art. 21 (2) er det mest konkrete, men likevel tillagt en skjønnsmessig vurdering – ‘der passende’.

I korthet skal virksomhetene ha:

  • flerfaktor-autentisering ELLER

  • kontinuerlige autentiseringsløsninger,

  • sikret stemme, video og tekstkommunikasjon og

  • sikre nødkommunikasjonssystemer i virksomheten, når det er passende.

Det vil si at flerfaktorautentisering overraskende nok ikke er et krav om man har ‘kontinuerlige autentiseringsløsninger’ (KA). Hva KA er fremgår ikke av NIS2, men er normalt ment å omfatte en dynamisk prosess som:

  • Overvåker brukerens identitet gjennom hele økten – ikke bare ved innlogging.

  • Vurderer risikofaktorer som:

    • Brukeratferd (f.eks. taste- og musemønstre, navigasjonsvaner)

    • Enhetens tilstand (f.eks. operativsystemoppdateringer, forekomst av skadevare)

    • Geografisk plassering (f.eks. uventet tilgang fra ukjente områder)

  • Automatisk utløser ny autentisering eller avslutter økten dersom det oppdages avvik.

Denne tilnærmingen støtter Zero Trust-prinsippet: «Aldri stol på, alltid verifiser».

Det fremgår ikke klart om de øvrige kravene er alternative, eller om de må oppfylles ved siden av kryptering eller kontinuerlig autentisering. Vi legger til sikret stemme-, video- og tekstkommunikasjon og sikre nødkommunikasjonssystemer er krav, men også dette bør klargjøres i den norske implementeringen av direktivet.

Sikker kommunikasjon vil i dag typisk bety kryptert forbindelse. Dermed glir kravene over i hverandre. Dette betyr at virksomheter ikke bare må sørge for at forbindelser er krypterte, men også at autentiseringsmekanismer – enten det benyttes flerfaktor eller kontinuerlig autentisering – understøtter en helhetlig sikkerhetsstrategi. Autentisering og kommunikasjon kan dermed ikke kan vurderes isolert. Det må etableres mekanismer som sikrer at både identitet og datatrafikk valideres og beskyttes fortløpende – ikke kun ved øktens start.

Særlig viktig er sikker kommunikasjon ved fjerntilgang og bruk av tredjepartsleverandører, der risikoen for identitetstyveri og sesjonskapring er betydelig høyere enn ved lokal tilgang. NIS2 krever at slike risikoer håndteres gjennom tekniske og organisatoriske tiltak, og her gir kontinuerlig autentisering et mulig svar. Det er imidlertid avgjørende at virksomheten kan dokumentere på hvilken måte autentiseringen faktisk er «kontinuerlig», og hvordan den er koblet til sikker kommunikasjon – f.eks. ved automatisk frakobling ved avvik, eller adaptiv innstramming av tilgangsnivå ved endrede risikoforhold.

Nødkommunikasjon kan også være et krav. Om normale kommunikasjonssystemer bryter sammen, kan slike reservesystemer bli avgjørende.

Mulige krav:

  • Identitet må bekreftes gjennom sikre autentiseringsløsninger.

  • Kommunikasjon må beskyttes mot avlytting og endringer.

  • Tiltakene må være dokumenterte og etterprøvbare.

Mål:

  • Hindre uautorisert tilgang til viktige systemer og data.

  • Sikre pålitelig og fortrolig kommunikasjon i drift og krise.

  • Øke tilliten og evnen til virksomhetens til å fortsette å levere sine tjenester.

Mulige tiltak:

  • Innfør flerfaktorautentisering (MFA) for alle brukere med tilgang til sensitive systemer.

  • Innfør KA for å sikre løpende kontroll og autentisering, helst i kombinasjon med MFA.

  • Krypter samtaler, fildeling, chat og andre viktige data.

  • Etabler krisekommunikasjonskanaler.

Dokumentasjon og etterprøvbarhet

NIS2 krever ikke bare tiltak, men at man dokumenterer dem og kan demonstrere etterlevelse overfor tilsynsmyndigheter (art. 21 (2) a)). For at risikostyringen skal være passende og risikotilpasset slik NIS2 krever, bør virksomheten legge til grunn at dokumentasjonen skal være:

  • Oppdatert.

  • Tilgjengelig.

  • Strukturert (f.eks. i et ISMS).

Eksempler på dokumentasjon:

  • Risikoanalyser og trusselvurderinger.

  • Sikkerhetsrutiner og prosedyrer.

  • Hendelseslogger og revisjonslogger.

  • Kontrakter med sikkerhetskrav.

  • Referater fra øvelser og opplæring.

Hvordan komme i gang?

En reise begynner alltid med det første steget. Vi anbefaler disse:

  1. Forankring:Styret og ledelsen må involveres og forstå risikoen. Utarbeid et white-paper eller lignende og/eller presenter problemstillingen i styremøter.

  2. Kartlegging:Identifiser kritiske systemer, leverandører og data. Dokumenter egnet sted.

  3. Risikovurdering:Gjennomfør årlig risikovurdering og GAP-analyse mot NIS2.

  4. Planlegge tiltak:Lag en prioriteringsliste over hva som må på plass. Koordiner med andre regelverk.

  5. Iverksettelse:Implementer tiltak og oppdater rutiner.

  6. Testing og forbedring:Test planer, øv, og oppdater planer og systemer jevnlig.

NIS2 stiller omfattende krav til sikkerhet, men gir samtidig virksomhetene handlingsrom til å tilpasse tiltak etter risiko og størrelse. Din jobb blir å finne riktig nivå og vise at du har gjennomført nødvendige tiltak.

Neste artikkel i serien vil handle om personlig ansvar, sanksjoner og styreansvar ved manglende etterlevelse.

Ta kontakt med forfatterne om du har spørsmål.

Noter

  1. Siden direktivet ikke enda er implementert i norsk rett (eller høringsnotatet publisert), vet vi ikke hvordan kravene vil se ut for Norges del. Men fordi NIS2 er et minimumsdirektiv, skal ikke kravene blir lavere enn det som følger av direktivet.
  2. OT: Operasjonell teknologi.
  3. CERT: Computer Emergency Response Team – Team for å lede og ivareta håndtering av hendelser.
  4. Endpoint Detection and Response – System for å detektere avvik på endepunkter (server, arbeidsstasjon, mobile enheter, o.l.)
  5. Extended Detection and Response – System for å oppdage avvik på endepunkter, men som i tillegg kan avdekke mer komplekse angrep gjennom utvidet bruk av automasjon og korrelasjon av data fra ulike kilder.
  6. Security Information and Event Management – System for å samle og analysere logger og hendelser på tvers av hele IT-miljøet.
  7. Business Continuity Plan – Plan for å sikre videreføring av kritiske forretningsprosesser under/etter hendelser.
  8. Disaster Recovery Plan – Plan for å gjenopprette IT-systemer og data etter større hendelser / systemsammenbrudd.
  9. Oversatt betyr ordet «udødelighet», og betyr i denne sammenheng at data ikke kan slettes, selv ikke av administrator, og at der finnes «ekte» slettebeskyttelse.
  10. Infrastructure as a Service - Infrastruktur levert som en tjeneste, f.eks. via en skyløsning.
  11. Fra engelsk: Governance, risk & compliance.
  12. Fortalepunkt 89
  13. Zero-trust-prinsipper betyr at ingen brukere, enheter eller systemer får tillit uten verifisering – uansett om de er inne eller utenfor virksomhetens nettverk eller systeminfrastruktur.
  14. Se også erfaringsrapporten «Ti sårbarheter i norske IKT-systemer» fra NSM: https://nsm.no/getfile.php/1313387-1700026023/NSM/Filer/Dokumenter/Rapporter/Ti%20s%C3%A5rbarheter%20i%20norske%20IKT-systemer.pdf
  15. Tredjepartsstyring, ofte forkortet til TPRM (Third-Party Risk Management), er en systematisk prosess for å identifisere, vurdere, overvåke og redusere risiko knyttet til eksterne leverandører, underleverandører og partnere.
  16. Infrastructure as Code – En metode hvor infrastruktur konfigureres og administreres ved hjelp av «kode», i stedet for manuelle prosesser.
  17. AES.256 er mye brukt.
  18. Critical Entities Resilience Directive (CER), Directive (EU) 2022/2557. https://eur-lex.europa.eu/eli/dir/2022/2557/oj/eng#enc_1
  19. NIS2 fortale punkt77 «[…] The cybersecurity risk-management measures should therefore also address the physical and environmental security of network and information systems by including measures to protect such systems from system failures, human error, malicious acts or natural phenomena, in line with European and international standards, such as those included in the ISO/IEC 27000 series. In that regard, essential and important entities should, as part of their cybersecurity risk-management measures, also address human resources security and have in place appropriate access control policies. Those measures should be consistent with Directive (EU) 2022/2557 [CER]».(våre uthevinger)
  20. Role-Based Access Control – Rollebasert tilgangskontroll, som betyr at brukere får tilgang til systemer og data basert på rollen sin i organisasjonen.
  21. Identity and Access Management – System for styring av identitet og tilgang.
Kristian Foss
Christer Berg Johannesen