Bevisstgjøring – en nøkkel til NIS2-etterlevelse

Ut over det overordnede målet om bedrekoordinering og samarbeid om cybersikkerhet i EU, har NIS2-direktivet et størrevirkeområde og en utvidet definisjon av hva som regnes som vesentlige ogviktige virksomheter. Og selv om NIS2 ikke uttrykkelig gjelder for de minstebedriftene, finnes det en rekke andre forhold som gjør at også de må styrke denorganisatoriske sikkerhetskulturen.

For at en virksomhet skal kunne rapporterenesten-hendelser og håndtere sikkerhet i forsyningskjeden i henhold tilkravene, er det avgjørende at den har en cybersikkerhetskultur som favner helevirksomheten.  

Oppdagelseav nye trusler ‍

Den foreslåtte oppdateringen av det opprinnelige NIS-direktivet tarsikte på å håndtere nye cybersikkerhetstrusler og styrke cybersikkerheten i EUsmedlemsland. Derfor er virkeområdet utvidet til flere sektorer, inkluderttilbydere av digitale tjenester (DSP-er) og digitale plattformer. 

Som følge av dette må virksomheter i dissesektorene følge NIS2-direktivet og iverksette tiltak for å forhindre ogbegrense virkningen av cyberhendelser.

Et av de viktigste kravene i direktivet er atansatte med tilgang til følsomme systemer og opplysninger skal få tilstrekkeligopplæring og bevisstgjøring innenfor cybersikkerhet. 

Virksomheter i de berørte sektorene må derforutvikle og implementere omfattende opplæringsprogrammer for å bevisstgjøre deansatte om cybersikkerhet. Opplæringen må dekke emner som

• identifisering og rapportering avsikkerhetshendelser
• trygg bruk av IT-systemer ognettverk
• beste praksis for beskyttelseav følsomme opplysninger 

NIS2-direktivet krever også at virksomhetergjennomfører regelmessig opplæring og bevissthetsvurderinger for å sikre at deansatte har kunnskapen og ferdighetene de trenger for å forebygge og reagere påcybersikkerhetshendelser.