Hva går galt med NIS 2-samsvar, og hvordan fikse det

Av Phil Muncaster • 6 mai 2025

En «én-gang-og-ferdig»-tankegang er ikke riktig for samsvar med regelverk – snarere tvert imot. De fleste globale regelverk krever kontinuerlig forbedring, overvåking og regelmessige revisjoner og vurderinger. EUs NIS 2-direktiv er ikke annerledes.

Derfor vil mange IT-sjefer og ledere innen compliance finne den siste rapporten fra EUs sikkerhetsbyrå (ENISA) interessant lesning. ENISA NIS360 2024 skisserer seks sektorer som sliter med samsvar og peker på hvorfor, samtidig som den fremhever hvordan mer modne organisasjoner leder an. Den gode nyheten er at organisasjoner som allerede er sertifisert i henhold til ISO 27001, vil oppdage at det er relativt enkelt å lukke hullene i samsvar med NIS 2.

Hva er nytt i NIS 2

NIS 2 er EUs forsøk på å oppdatere sin flaggskiplov om digital robusthet for den moderne tidsalderen. innsatsfokus på:

Utvidelse av antallet sektorer som dekkes av direktivet
Innføring av mer konkrete grunnleggende krav til cybersikkerhet
Redusere ulikheter i nivåer av robusthet mellom ulike sektorer
Forbedring av informasjonsdeling, hendelsesrespons og risikostyring i forsyningskjeden
Holde toppledelsen ansvarlig for eventuelle alvorlige feil

Britiske organisasjoner vil få sin egen oppdaterte versjon av det opprinnelige nettverks- og informasjonssystemdirektivet (NIS) når Lovforslaget om cybersikkerhet og motstandskraft endelig finner veien inn i loven. Mange tilbyr imidlertid tjenester til europeiske borgere og/eller opererer på kontinentet, noe som betyr at de faller inn under NIS 2. For disse organisasjonene kan NIS360 være nyttig lesning.

Hvilke sektorer sliter?

Av de 22 sektorene og delsektorene som er studert i rapporten, sies seks å være i «risikosonen» for samsvar – det vil si at modenheten til risikostillingen deres ikke holder tritt med hvor kritiske de er. De er:

IKT-tjenestehåndtering: Selv om den støtter organisasjoner på en lignende måte som annen digital infrastruktur, er sektorens modenhet lavere. ENISA påpeker sin «mangel på standardiserte prosesser, konsistens og ressurser» for å holde oversikt over de stadig mer komplekse digitale operasjonene den må støtte. Dårlig samarbeid mellom aktører på tvers av landegrenser forverrer problemet, i likhet med de kompetente myndighetenes «ukjennskap» til sektoren.

ENISA oppfordrer blant annet til tettere samarbeid mellom CA-myndigheter og harmonisert grenseoverskridende tilsyn.

Rom: Sektoren er stadig mer kritisk til å legge til rette for en rekke tjenester, inkludert telefon- og internettilgang, satellitt-TV- og radiosendinger, overvåking av land- og vannressurser, presisjonslandbruk, fjernmåling, forvaltning av fjerninfrastruktur og sporing av logistikkpakker. Rapporten bemerker imidlertid at sektoren, som nylig regulert, fortsatt er i en tidlig fase av tilpasningen til NIS 2s krav. En sterk avhengighet av kommersielle standardprodukter (COTS), begrensede investeringer i cybersikkerhet og en relativt umoden holdning til informasjonsdeling forsterker utfordringene.

ENISA oppfordrer til et større fokus på å øke sikkerhetsbevisstheten, forbedre retningslinjene for testing av COTS-komponenter før utrulling, og fremme samarbeid innen sektoren og med andre vertikaler som telekom.

Offentlige forvaltninger: Dette er en av de minst modne sektorene til tross for dens viktige rolle i å levere offentlige tjenester. Ifølge ENISA finnes det ingen reell forståelse av cyberrisikoene og truslene den står overfor, eller hva som er innenfor omfanget av NIS 2. Det er imidlertid fortsatt et viktig mål for hacktivister og statsstøttede trusselaktører.

ENISA anbefaler en delt tjenestemodell med andre offentlige enheter for å optimalisere ressurser og forbedre sikkerhetskapasiteten. Den oppfordrer også offentlige forvaltninger til å modernisere eldre systemer, investere i opplæring og bruke EUs cybersolidaritetslov for å få økonomisk støtte til å forbedre deteksjon, respons og utbedring.

Maritim: Sektoren er essensiell for økonomien (den håndterer 68 % av frakten) og sterkt avhengig av teknologi, og utfordres av utdatert teknologi, spesielt OT.

ENISA hevder at de kan dra nytte av skreddersydd veiledning for implementering av robuste kontroller for risikostyring innen cybersikkerhet – med prioritering av prinsipper for innebygd sikkerhet og proaktiv sårbarhetshåndtering i maritim OT. De etterlyser en cybersikkerhetsøvelse på EU-nivå for å forbedre kriseresponsen på tvers av ulike modaliteter.

Helse: Sektoren er viktig og står for 7 % av bedriftene og 8 % av sysselsettingen i EU. Sensitiviteten til pasientdata og den potensielt fatale konsekvensen av cybertrusler betyr at hendelsesrespons er kritisk. Imidlertid betyr det mangfoldige utvalget av organisasjoner, enheter og teknologier i sektoren, ressursmangler og utdaterte praksiser at mange leverandører sliter med å komme utover grunnleggende sikkerhet. Komplekse forsyningskjeder og eldre IT/OT forverrer problemet.

ENISA ønsker å se flere retningslinjer for sikker anskaffelse og beste praksis for sikkerhet, opplærings- og bevissthetsprogrammer for ansatte, og mer engasjement i samarbeidsrammeverk for å bygge trusseldeteksjon og -respons.

Gass: Sektoren er sårbar for angrep på grunn av sin avhengighet av IT-systemer for kontroll og sammenkobling med andre bransjer som elektrisitet og produksjon. ENISA sier at hendelsesberedskapen og responsen er spesielt dårlig, spesielt sammenlignet med konkurrenter i elektrisitetssektoren.

Sektoren bør utvikle robuste, regelmessig testede hendelsesplaner og forbedre samarbeidet med elektrisitets- og produksjonssektoren om koordinert cyberforsvar, delt beste praksis og felles øvelser.

Hva gjør lederne riktig?

Ifølge ENISA er sektorene med høyest modenhetsnivå bemerkelsesverdige av flere grunner:

Mer omfattende veiledning om cybersikkerhet, potensielt inkludert sektorspesifikk lovgivning eller standarder
Sterkere tilsyn og støtte fra EU-myndigheter som er kjent med sektoren og dens utfordringer
Dypere forståelse av risiko og mer effektiv risikostyring
Sterkere samarbeid og informasjonsdeling mellom enheter og myndigheter på nasjonalt og EU-nivå
Mer moden operativ beredskap gjennom velprøvde planer

Slik lykkes du med NIS 2-samsvar

Det bør huskes at ingen organisasjoner i en bestemt sektor er like. Rapportens funn er imidlertid lærerike. Og selv om noe av byrden for å forbedre samsvar ligger på skuldrene til CA-ene – for å forbedre tilsyn, veiledning og støtte – handler en stor del av det om å ha en risikobasert tilnærming til cybersikkerhet. Det er her standarder som ISO 27001 kommer til sin rett, og legger til detaljer som NIS 2 kanskje mangler, ifølge Jamie Boote, assisterende hovedkonsulent for programvaresikkerhet hos Svart and:

«NIS 2 ble skrevet på et høyt nivå fordi den måtte gjelde for et bredt spekter av selskaper og bransjer, og som sådan kunne den ikke inkludere skreddersydd, forskrivende veiledning utover å informere selskaper om hva de måtte overholde», forklarer han til ISMS.online.

«Selv om NIS 2 forteller bedrifter at de må ha «hendelseshåndtering» eller «grunnleggende cyberhygienepraksis og cybersikkerhetsopplæring», forteller den dem ikke hvordan de skal bygge disse programmene, skrive retningslinjene, lære opp personell og sørge for tilstrekkelig verktøy. Å innføre rammeverk som går i detalj om hvordan man håndterer hendelser eller sikrer forsyningskjeden, er avgjørende nyttig når man pakker ut disse retningslinjene i alle elementene som utgjør menneskene, prosessene og teknologien i et cybersikkerhetsprogram.»

Chris Henderson, seniordirektør for trusseloperasjoner hos Huntress, er enig i at det er en betydelig overlapping mellom NIS 2 og ISO 27001.

«ISO27001 dekker mange av de samme styrings-, risikostyrings- og rapporteringsforpliktelsene som kreves under NIS 2. Hvis en organisasjon allerede har innhentet ISO 27001-standarden, er de godt posisjonert til å dekke NIS2-kontrollene også», forteller han til ISMS.online. «Et område de må forbedre er krisehåndtering, ettersom det ikke finnes noen tilsvarende ISO 27001-kontroll. Rapporteringsforpliktelsene for NIS 2 har også spesifikke krav som ikke umiddelbart vil bli oppfylt gjennom implementeringen av ISO 27001.»

Han oppfordrer organisasjoner til å starte med å teste ut obligatoriske policyelementer fra NIS 2 og knytte dem til kontrollene i det valgte rammeverket/standarden (f.eks. ISO 27001).

«Det er også viktig å forstå hull i selve rammeverket, fordi ikke alle rammeverk gir full dekning av en forskrift, og hvis det er noen ukartlagte regulatoriske uttalelser igjen, kan det være nødvendig å legge til et ekstra rammeverk», legger han til.

Når det er sagt, kan samsvar være en stor oppgave.

«Samsvarsrammeverk som NIS 2 og ISO 27001 er store og krever betydelig arbeid å oppnå», sier Henderson. «Hvis du bygger et sikkerhetsprogram fra grunnen av, er det lett å bli analyselammet når du prøver å forstå hvor du skal begynne.»

Det er her tredjepartsløsninger, som allerede har gjort kartleggingsarbeidet for å produsere en NIS 2-klar samsvarsveiledning, kan hjelpe.

Morten Mjels, administrerende direktør i Green Raven Limited, anslår at samsvar med ISO 27001 vil bringe organisasjoner omtrent 75 % av veien til samsvar med NIS 2-kravene.

«Etterlevelse er en pågående kamp mot en gigant (regulatoren) som aldri blir lei, aldri gir opp og aldri gir etter», sier han til ISMS.online. «Det er derfor større selskaper har hele avdelinger dedikert til å sikre etterlevelse på tvers av linja. Hvis bedriften din ikke er i den posisjonen, er det verdt å konsultere en.»

Sjekk ut dette webinaret for å lære mer om hvordan ISO 27001 praktisk kan hjelpe med NIS 2-samsvar.

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 3 februar 2026

WEF-rapport: Svindel er nå administrerende direktørers største cyberbekymring, men det er ikke den eneste

Fem år er lang tid innen cybersikkerhet. Likevel er det så lenge Verdens økonomiske forum (WEF) har spurt administrerende direktører om sin globale cybersikkerhetsrapport...

Phil Muncaster

Cyber sikkerhet 27 januar 2026

personvern betyr noe hva compliance-team kan forvente i 2026 banner

Personvern er viktig: Hva samsvarsteam kan forvente i 2026

28. januar er den globale personvernedagen – en anledning til å feire retten til personvern og databeskyttelse som mange av oss tar for gitt i dag. Det var...

Phil Muncaster

Cyber sikkerhet 20 januar 2026

Å lukke gapet i styring av kunstig intelligens med ISO 42001

Storbritannia har et problem med styring av kunstig intelligens. Dette var kanskje ikke et problem for noen år siden, da prosjekter var spredte i de fleste organisasjoner. Men i dag...

Phil Muncaster