Hvordan arbeider vi i Visma Enterprise med NIS2?

EUs direktivet om nettverks- og informasjonssikkerhet (NIS2-direktivet) skal styrke cybersikkerheten i hele Europa, og setter nye standarder for risikostyring og hendelsesrespons i viktige sektorer. Med den raske digitale utviklingen, kombinert med stadig økende avhengighet av teknologi, er cybersikkerhet viktigere enn noen gang. Dette er bakgrunnen for at EU har innført NIS2-direktivet. Dette betyr at virksomheter av alle størrelser i hele Europa står overfor økte forventninger når det gjelder cybersikkerhet.

I første omgang er NIS2 etablert i EU. Direktivet er ennå ikke innført direkte i norsk rett. Visma Enterprise har likevel allerede iverksatt en rekke tiltak og forbereder seg på innføring av NIS2 i norsk rett, ettersom vi ønsker å være proaktive og sikre at virksomheten er klar for det tilfellet at NIS2 også blir innført i Norge.

Hva er NIS2, og hvorfor er det viktig?

NIS2-direktivet er et regelverk som stiller strenge krav til cybersikkerhet. Cybersikkerhet handler ikke bare om å beskytte data mot uautorisert tilgang eller misbruk - det handler også om å sørge for at digitale tjenester forblir i drift uten uventede avbrudd. Gode sikkerhetsrutiner hjelper virksomheter med å sikre data, styrker tilliten til digitale tjenester og forhindrer forstyrrelser som kan forringe brukeropplevelsen eller forårsake økonomisk skade og skadet omdømmet.

Hvordan påvirker NIS2 virksomheter?

NIS2 er utformet for å styrke cybersikkerheten i organisasjoner av alle størrelser, fra små til store bedrifter. Direktivet er imidlertid særlig relevant for kritiske sektorer som digital infrastruktur, energi, helse, transport, offentlig administrasjon og produksjon.

Direktivet inneholder minimumstiltak for cybersikkerhet som virksomheter må implementere. Videre får ledelsen i selskaper utvidet ansvar for å sikre at disse tiltakene er på plass. Ansvaret omfatter også cybersikkerhet for underleverandører og leverandører utenfor EU. 

Norge har ennå ikke innlemmet NIS2 i nasjonal rett, men deler av NIS2 er inntatt gjennom Digitalsikkerhetsloven, som det er forventet at vil tre i kraft i løpet av 2025. NIS2 legger opp til at øverste ledelse i virksomheten kan bli holdt personlig ansvarlig for brudd på regelverket, og virksomheter kan også bli ilagt sanksjoner slik som bøter på inntil 2 % av omsetningen. Sanksjonene vil imidlertid kunne variere ut ifra hvordan direktivet implementeres i norsk rett.

Du kan finne ut mer om NIS2 på EUs nettsted. Status for innføring i Norge finner du på Europalov.no.

Hva gjør Visma Enterprise for å forberede seg på NIS2?

Sikkerhet har lenge vært en av Vismas høyeste prioriteringer. For oss utgjør ikke sikkerhetsarbeid en papirøvelse, men det er et kontinuerlig arbeid som vi ser på som en forpliktelse. Vi har som mål å ikke bare oppfylle, men også overgå standarder og anbefalinger for cybersikkerhet, og NIS2 er ikke noe unntak. For å sikre at vi er forberedt på de nye kravene har vi satt oss inn i de nye kravene, gjennomført en GAP-analyse og iverksatt tiltak som opplæring av ledelsen. 

Når det gjelder de konkrete sikkerhetstiltakene ligger vi i forkant av utviklingen og har allerede integrert avanserte sikkerhetstiltak gjennom Visma Security Program.

Vismas sikkerhetsprogram

Vismas omfattende sikkerhetsprogram kombinerer opplæring, veiledning og avanserte sikkerhetstjenester for å beskytte programvareproduktene og kundedataene våre mot cybertrusler. Programmet sørger for at sikkerhetstiltakene oppdateres kontinuerlig, er skreddersydd til de spesifikke behovene til hvert enkelt Visma-selskap og er i full overensstemmelse med nødvendige standarder og forskrifter, inkludert NIS2.

Vi har allerede en rekke sikkerhetstiltak på plass som oppfyller NIS2-kravene:

• Visma måler aktivt gapet mellom dagens sikkerhetsnivåer og de aktuelle standardene, og utvikler risikostyringsstrategier som inkluderer tiltak som kan iverksettes. Disse tiltakene omfatter utbedring av kritiske sårbarheter og oppdatering av servere, noe som er i tråd med NIS2s fokus på risikostyring og hendelsesrespons.
• Visma har dedikerte sikkerhetsoperasjoner døgnet rundt for overvåking, deteksjon, forebygging og hendelseshåndtering. Visma Cyber Crime Centre (VC3) jobber spesifikt med å forebygge cyberkriminalitet, og sørger for høy sikkerhet i hele organisasjonen.
• Vismas Security Maturity Index sporer sikkerhetsnivåer og viser hvordan våre tjenester faktisk oppfyller sikkerhetskravene  i sanntid, noe som fremmer åpenhet og ansvarlighet. Indexen fungerer som et verktøy for ledelsen til å sette KPI-er og ta strategiske sikkerhetsbeslutninger, noe som oppfyller kravene til ansvarlighet i NIS2-direktivet.
• Vismas sikkerhetsprogram legger vekt på kontinuerlig læring og forbedring gjennom gjentatte tiltak og erfaringer, noe som sikrer at sikkerhetskompetansen og -modenheten opprettholdes til tross for stadige endringer i teamsammensetning og produktutgivelser.

Vi er forpliktet til å kontinuerlig tilpasse og forbedre sikkerhetsprogrammet vårt. Ikke bare for å oppfylle kravene i NIS2-direktivet, men for å overgå dem. Sikkerheten til kundene våre har høyeste prioritet, og vi er stolte av å levere innovative produkter og løsninger som er bærekraftige og motstandsdyktige mot cybertrusler. Etter hvert som endringene i NIS2-lovgivningen kommer, kan du som kunde være trygg på at vi vil være klare og godt forberedt.