EU har høy aktivitet innen digital sikkerhet, og har flere ulike rettsakter under utvikling. Norge ligger riktignok et stykke bak EU i vedtakelsen av disse reglene, både på grunn av EØS-prosessen og nasjonale forhold. Det synes likevel klart at EUs rettsakter på dette området vil være EØS-relevante, og dermed er det bare et spørsmål om tid før de vil bli innlemmet i norsk lovgivning.
En fellesnevner for EUs regler er at de søker å regulere samfunnsrelaterte risikoer knyttet til digital sikkerhet og informasjonssamfunnet, samt å etablere felles kjøreregler for EUs indre marked. Berørte sektorer er typisk sektorer med stor samfunnsmessig betydning, og som kan være utsatt for digitale trusler. Typisk omfatter dette infrastruktur, energi, transport, finans, helse, næringsmidler, offentlig forvaltning mv.
De mest aktuelle rettsaktene fra EU i denne sammenheng er:
- NIS 1 direktivet (2016/1148): Dette var det første EU-direktivet som tok for seg cybersikkerhet, og fokuserte på å øke sikkerheten for nettverks- og informasjonssystemer hos operatører av essensielle tjenester.
- Cybersikkerhetsforordningen (2019/881): En forordning somsøker å etablere et høyt nivå av digital sikkerhet, og øke tilliten til IKT-produkter og -tjenester i EU, gjennom sertifisering og samarbeid.
- NIS 2 direktivet (2022/2555): Erstatter NIS 1-direktivet og utvider omfanget til å inkludere flere sektorer og enheter. NIS 2 inneholder også en litt endret taksonomi, har større fokus på risikotilnærming, og strengere varslingskrav, enn NIS 1
- CER direktivet (2022/2557): Fokuserer på å øke motstandskraften til såkalte kritiske enheter som leverer viktige tjenester, som energi, transport og helse. Supplerer NIS-direktivet, men retter seg mer mot myndigheter og skal oppnå motstandsdyktighet i videre forstand enn ren cybersikkerhet.
- DORA (2022/2554): En forordning som fokuserer på den digitale operasjonelle motstandsdyktigheten i finanssektoren. Den omfatter både aktører innen finanssektoren og deres leverandører av IKT-tjenester, og er såkalt lex specialis ift NIS.
- Cyber Resilience Act (2024/2847): En forordning som sikter på å regulere den digitale sikkerheten i produkter med digitale elementer, typisk IoT enheter mv. Det gjelder for alle produsenter, importører og distributører som leverer produkter med digitale elementer på det europeiske markedet.
Flere av rettsaktene overlapper og utfyller hverandre, både med tanke på hvem som omfattes og type forpliktelser, og forholdet mellom de ulike regelsettene kan være komplekst. For eksempel er DORA et spesifikt regelverk for finanssektoren, som bygger på de overordnede rammene i NIS2. Og både NIS 2 og CER-direktivet retter seg mot samfunnskritiske enheter, men med forskjellige fokusområder. Generelt synes «strengeste regel» å gjelde der det er overlapp mellom regelsettene, og det legges opp til at ulike myndigheter skal samarbeide på tvers av rettsaktene både nasjonalt og innen EU.
For berørte virksomheter er det viktig å ha en klar forståelse av hvilke krav som gjelder for dem, og når de trer i kraft, da brudd på reglene vil kunne eksponere virksomheten for store overtredelsesgebyr. Og selv om det kan ta flere år før disse rettsaktene blir implementert i Norge, kan norske virksomheter som opererer i det europeiske markedet, eller som leverer digitale varer eller tjenester til aktører som er omfattet, måtte forholde seg til reglene som gjelder i EU allerede nå. For mange virksomheter vil det også kunne være fornuftig å allerede nå planlegge med tanke på kommende krav.
Nedenfor finner du en oversikt over de mest sentrale regelverkene som er på gang innen dette feltet (trykk her for en mer leservennlig versjon).
