Sigurður Gísli Bjarnason
Inngangur
Samræmiskröfur eru mikið í umræðunni á öllum þeim netöryggisviðburðum sem ég sæki þessa dagana og því datt mér í hug að leggja orð í belg.
Flestir tala um nýja NIS2-reglugerð ESB. Í þessu samhengi stendur NIS fyrir Network Information security og var upphaflega innleidd í ESB árið 2016. Nokkrum árum síðar ákvað ESB að það mætti gera betur og innleiddi endurskoðun 2 árið 2022. NIS-útgáfan, eða NIS2, gaf aðildarríkjum frest til 18. október 2024 til að innleiða þessa nýju reglu í landslög. Frá og með 23. október 2024 hafa aðeins fjögur aðildarríki uppfyllt þessa kröfu, en búist er við að hin hafi uppfyllt þessa kröfu í lok árs 2024.
Gert er ráð fyrir að EFTA/EES löndin (Ísland, Noregur og Sviss) innleiði þetta í landslög einhvern tímann árið 2026.
Yfirlit
Lögin gera strangar kröfur og beita ströngum viðurlögum við því að hafa ekki netöryggi í lagi. Sektir geta numið allt að 10 milljónum evra eða allt að 2% af árlegum tekjum á heimsvísu, hvort sem er hærra. Ef ekki er farið að lögum getur það einnig leitt til strangs eftirlits, óvæntrar endurskoðunar, sakamálarannsóknar eða jafnvel upplausnar fyrirtækisins. Lögin hafa því margar mjög beittar tennur.
Þótt það sé langur listi af kröfum þá er ekkert nýtt á þeim lista. Þetta er allt bara grunn öryggishreinlæti sem öll atvinnugreinin hefur verið að boða í mörg ár. Staðlar eins og NIST og ISO 27001 hafa líka verið að kenna þetta allt í mörg ár. Í rauninni ef þú ert með ISO 27001 vottun og vottunarsviðið er allt fyrirtækið þá ættir þú að vera í nokkuð góðu standi þegar kemur að NIS 2 samræmi. Það má hugsa þetta sem löglega skyldu ISO 27001 vottun þar sem þú færð ekki að umfangsbinda vottunina við skáp húsvarða og viðurlögin eru að missa rekstrarleyfi, ekki bara missa vottunina.
Umfangsmeiri hlutar NIS2 á móti ISO 27001 snúa að viðbrögðum við atvikum og samfellu í rekstri. Til að mynda er þess krafist í NIS2 að fyrirtæki tilkynni „skyldum aðilum“ um brot eða atvik (jafnvel bara grun um atvik) innan 24 klukkustunda, eftirfylgni eftir 72 klukkustundir og svo áframhaldandi eftirfylgni eftir því sem yfirvöld krefjast.
Umfang NIS2
Þessar 15 mismunandi atvinnugreinar falla beint undir NIS2
- Orka
- Flutningur
- Bankarekstur
- Fjármálamarkaðir
- Vátrygging
- Heilsa
- Vatnsveita – neysluvatn og fráveita
- Stafrænir innviðir
- Veitendur upplýsinga- og fjarskiptatækni
- Opinber stjórnsýsla
- Póst- og hraðboðaþjónusta
- Meðhöndlun úrgangs
- Framleiðsla
- Matvælastjórnun
- Rannsóknir
Sástu að ég sagði, „falla beint undir“? Þó þessar atvinnugreinar telji mörg fyrirtæki þá er þetta aðeins hluti af þeim fyrirtækjum sem þetta á við því önnur fyrirtæki sem þjónusta fyrirtæki í þessum geirum eru líka innifalin. Það er ekki staðan að mörg fyrirtæki séu undanskilin.
Þó svo að NIS2 komist hugsanlega ekki í íslensk lög í eitt til tvö ár til viðbótar þá eru íslensk fyrirtæki ekki undanþegin. Þótt ESB geti ekki refsað íslenskum fyrirtækjum fyrir að brjóta lög sín þá getur það refsað ESB fyrirtækjum fyrir að eiga viðskipti við fyrirtæki sem ekki uppfylla NIS2 samkvæmt ákvæðinu um áhættustýringu þriðja aðila. Þannig að ef þú ert að þjónusta ESB fyrirtæki sem er undir NIS2 þá gætir þú tapað viðskiptum ef þú uppfyllir ekki kröfur.
Einnig er undanþága fyrir ákveðin örfyrirtæki, með innan við 10 starfsmenn eða innan við tvær milljónir króna í árstekjur. Miðað við gengi krónunnar þessa dagana eru það um 300 milljónir króna í árstekjur eða um 25 milljónir króna á mánuði í tekjur. Jafnvel á Íslandi eru ekki mörg fyrirtæki sem hafa tekjur undir því.
Þau félög sem undanþegin eru NIS2 teljast ekki hafa þjóðhagslegt eða samfélagslegt gildi.
Sjónarmið
Ef þú sest niður með lögfræðingi þínum og veltir fyrir þér öllum kröfum þeirra sem falla undir NIS2 og hann/hún ráðleggur þér að þú þurfir ekki, samkvæmt lögum, að uppfylla kröfur NIS2 gætir þú freistast til að fagna. Gerðu þér þá grein fyrir því að þú fagnar því að lögin telji fyrirtækið þitt svo lítið og ómerkilegt að varla muni nokkur taka eftir því eða láta sig vaðra ef þú lendir í netárás og þurfir að loka í nokkrar vikur eða ef eitthvað annað netatvik tekur þig úr umferð í nokkrar vikur með tilheyrandi tekjutapi.
Í stað þess að láta sér detta í hug að þú sért löglega látin/n vera slæleg/ur og kærulaus gagnvart netöryggi fyrirtækisins þíns, legg ég til að þú farir aðra leið.
Ég mæli með því að þú sparir þér lögmannskostnaðinn af því að reyna að komast að því hvort þú sért skyldug/ur samkvæmt lögum og ákveður bara að þú munir fara eftir lögunum óháð því hvort þú getir verið sektuð/aður eða ekki. Þú getur lýst því yfir að fyrirtækið þitt sé þjóðfélagslega mikilvægt og nógu stórt til að skipta máli. Ef þú telur fyrirtækið þitt ekki vera mikilvægt og að það skipti engu máli fyrir samfélagið, af hverju ertu þá í viðskiptum?
Eftir að þú hefur ákveðið að fyrirtæki þitt skipti máli, þá byrjar þú á verkefni sem stjórnendur styðja til að herða netöryggi þitt og setja það í forgang til að tryggja að þú uppfyllir allar kröfur NIS2.
Ef þú þarft aðstoð við það verkefni erum við til taks til að hjálpa þér að skipuleggja það, forgangsraða og finna út hvar þú átt að eyða kröftum þínum. Við seljum þér aldrei neitt sem þú þarft ekki, en við erum til taks til að hjálpa þér að finna hvar þú gætir verið með gloppur og útbúa áætlun til að fylla þær gloppur með sem minnstum tilkostnaði. Ef þú ert með takmarkað fjármagn getum við unnið með þér að því að finna leiðir til að uppfylla kröfurnar og vera öruggur með minnsta mögulega fjármagn.
Að lokum
Sannleikurinn er sá að öll fyrirtæki eru á sinn hátt bæði merkileg og mikilvæg og í langflestum tilfellum hluti af stærra mengi og stærri keðju. Mögulega er þitt fyrirtæki að þjónusta eitthvað enn stærra fyrirtæki og mögulega mun það verða krafa frá þeim að allir sínir birgjar og þjónustuveitendur séu með sín netöryggismál á hreinu. Málið er að netöryggi er eins og viðhaldið á tönnunum þínum og bílnum. Ef þú sinnir stöðugu viðhaldi þá heldurðu tönnunum óskemmdum og bílnum ryðfríum en ef þú trassar þetta þá á endanum siturðu uppi með stóra viðgerð. Sem er dýr. Ekki bíða með að lenda í veseni. Bókaðu frían tíma í ráðgjöf hjá okkur strax í dag.