Innleiðing NIS2 í landslög ríkja ESB og EES
Greining og yfirlit á stöðu innleiðingar
Evróputilskipun og net- og upplýsingaöryggi (NIS2) setur fram strangari netöryggiskröfur fyrir fyrirtæki og stofnanir sem flokkast sem nauðsynlegir og mikilvægir innviðir. Aðildarríki ESB höfðu frest til 16. október 2024 til að innleiða NIS2 í landslög sín.
Hvítbók Deloitte um staðbundna NIS2 löggjöf greinir efni og stöðu NIS2 landslaga í ríkjum ESB í júní 2025 og kemur inn á lykilþætti eins og skilgreiningu atvinnugeira og þjónustuaðila sem falla undir tilskipunina, ólíkar skráningarkröfur fyrirtækja, uppfærðar öryggisráðstafanir ásamt ábyrgð og eftirlit stjórnvalda.
Hvítbókin nýtist fyrirtækjum með starfsemi þvert á landamæri Evrópu.
Innleiðing NIS2 tilskipunarinnar í landslög ríkja Evrópusambandsins hefur farið fram á ólíkan hátt í ríkjum ESB en athygli vekur að:
- Áhersla NIS2 á persónulega ábyrgð stjórnenda er skýr þar sem stjórn og framkvæmdastjórn bera ábyrgð á virkri áhættustýringu netöryggis, innleiðingu og eftirliti með netöryggisráðstöfunum.
- Greina má þrenns konar nálgun við innleiðingu á kröfum NIS2 sem byggir annað hvort á uppbyggingu stjórnunarkerfis net- og upplýsingaöryggis út frá frá mati á þroska fyrirtækis (e. matury), reglufylgni (e. compliance) eða megineglum NIS2 (principle based approach). Flest lönd skilgreina lágmarks net- og upplýsingaöryggiskröfur sem aðilar þurfa að innleiða.
- Belgía, Króatía, Kýpur, Slóvakía, Finnland, Danmörk, Grikkland, Ungverjaland, Ítalía, Lettland, Litháen, Malta, Liechtenstein og Slóvakía hafa lokið innleiðingu á NIS2. Landslög þessara ríkja innihalda oft viðbótarkröfur, breytingar eða reglur umfram kröfur NIS2. Í Rúmeníu hefur NIS2 verið innleidd að hluta.
- Króatía, Ungverjaland, Ítalía og Slóvakía fjölga atvinnugeirum sem NIS2 skilgreinir sem nauðsynlega eða mikilvæga innviði og bæta við aðilum á sviði menntunar, varnarmála og menningar.
- Króatía, Kýpur og Litháen krefjast þess ekki að aðilar sem falli undir NIS2 skrái starfsemi sína sjálfir hjá stjórnvöldum heldur munu stjórnvöld þessara ríkja skilgreina þá aðila sem falla undir gildissvið laganna.
- Flest lönd aðlaga landslög sín að kröfum NIS2 um tilkynningarskyldu öryggisatvika en Kýpur gerir kröfu um 6 klukkustunda snemmbúna viðvörun fyrir alvarleg atvik í stað hefðbundinna 24 klukkustunda. Litháen krefst sjálfvirkrar tilkynningar atvika.
- Kröfur til eftirlits og úttekta eru ólíkar milli ríkja. Í flestum löndum er gerð krafa um að nauðsynlegir eða mikilvægir innviðir verði teknir út af löggiltum endurskoðanda og/eða úttektaraðila reglulega. Tíðni slíkra úttekta er ólík, allt frá árlegum úttektum til úttekta á fimm ára fresti.
Í meginatriðum sýnir innleiðing þeirra ríkja, sem greining þessi nær til, fram á sértæk atriði sem geta haft veruleg áhrif á fyrirtæki sem starfa í þessum löndum. Fyrirtæki sem starfa í fleiri en einu ríki Evrópu ættu að fylgjast náið með innleiðingu NIS2 á viðeigandi markaðssvæði og reyna að skilgreina sameiginlegar lágmarksköfur til að ná reglufylgni í framkvæmd.
Innleiðing NIS2 í þeim löndum sem greiningin nær til sýnir að tiltekin ríki setja fram sértækar kröfur sem geta haft mikil áhrif á fyrirtæki sem starfa þar. Fyrirtæki sem starfa í fleiri en einu Evrópuríki ættu að fylgjast vel með innleiðingunni á sínum mörkuðum og reyna að samræma lágmarkskröfur til að tryggja reglufylgni og skilvirka innleiðingu.
Flest ESB-ríki eiga að ljúka innleiðingu NIS2 í landslög sín árið 2025. Unnið er að því að taka NIS2 upp í EES-samninginn og ríki eins og Ísland munu svo í kjölfarið innleiða NIS2 í eigin landslög en sú vinna stendur yfir hérlendis. Mikilvægt er að innleiða kröfurnar með skýrum kröfum og áhættumiðuðum netöryggisráðstöfunum til að mæta sívaxandi kröfum um netöryggi og byggja upp sterkar varnir og viðnámsþrótt.
