Hvað er NIS2 og DORA og skiptir það máli fyrir þitt fyrirtæki?

Ný lög og reglugerðir Evrópusambandsins um netöryggi og stafrænt rekstraröryggi eru að breyta leikreglunum fyrir fjölmörg fyrirtæki á Íslandi. Þó svo að reglurnar hafi ekki enn verið innleiddar í íslenskan rétt, þurfa mörg íslensk fyrirtæki þegar að fylgja þeim, sérstaklega ef þau vinna með evrópskum viðskiptavinum eða eru hluti af alþjóðlegum aðfangakeðjum.

En hvað fela reglurnar NIS2 og DORA í sér, og hvernig getur fyrirtækið þitt tryggt samræmi?

NIS2

NIS2 (Network and Information Security Directive 2) er nýleg netöryggistilskipun frá Evrópusambandinu sem leysir af hólmi fyrri tilskipun (NIS1). Tilskipunin leggur áherslu á að efla öryggi net- og upplýsingakerfa fyrirtækja og stofnana sem gegna lykilhlutverki í samfélaginu, en nú er umfang hennar víðtækara og nær til fleiri atvinnugreina en áður.

Hvaða fyrirtæki falla undir NIS2?

Fyrirtæki og stofnanir sem sinna mikilvægri innviðaþjónustu, sem og þjónustuaðilar þeirra og aðilar í aðfangakeðjum, geta fallið undir NIS2. Þetta nær til ýmissa geira, allt frá orku, flutningum og heilbrigðisþjónustu til stafrænnar innviðaþjónustu eins og skýja- og hýsingarfyrirtækja.

Ef þú ert ekki viss hvort fyrirtækið þitt falli undir tilskipunina, geta sérfræðingar okkar aðstoðað þig við að greina stöðuna.

Helstu kröfur NIS2

Tilskipunin krefst þess að fyrirtæki:

• Innleiði öryggisráðstafanir og áhættustjórnun

• Tilkynni netöryggisatvik innan tiltekins tíma

• Hafi viðbragðsáætlanir til að tryggja rekstraröryggi

• Tryggi ábyrgð og virkt eftirlit stjórnenda

DORA

DORA (Digital Operational Resilience Act) er nýleg reglugerð ESB sem beinist sérstaklega að fjármálafyrirtækjum. Markmiðið er að tryggja að þessi fyrirtæki geti staðist, brugðist við og jafnað sig eftir truflanir tengdar upplýsingatækni, til dæmis netárásir eða kerfisbilun.

Hverjir þurfa að fylgja DORA?

DORA nær til banka, tryggingafélaga, fjárfestingarfyrirtækja og annarra fjármálastofnana, auk þeirra sem veita þeim tæknilega þjónustu. Þetta þýðir að fjölmörg tæknifyrirtæki og skýjaþjónustur sem starfa með fjármálageiranum geta þurft að uppfylla reglugerðina, jafnvel þótt þau séu ekki fjármálastofnanir sjálf.

Helstu kröfur DORA

Reglugerðin krefst meðal annars:

• Áhættustýringar í upplýsingatækni

• Mat á áhættu sem stafar af þriðja aðila

• Reglulegra prófana á rekstraröryggi

• Tilkynninga um alvarleg atvik til yfirvalda

• Upplýsingamiðlunar um netógnir

Eru íslensk fyrirtæki skylt að fylgja NIS2 og DORA núna?

Þrátt fyrir að reglurnar séu ekki enn orðnar hluti af íslenskum lögum (það gæti gerst árið 2026), þurfa fyrirtæki sem veita þjónustu til viðskiptavina í ESB jafnvel nú þegar að fylgja þeim.

Það á sérstaklega við ef fyrirtækið þitt:

• Veitir þjónustu til fyrirtækja sem falla undir NIS2 eða DORA

• Er hluti af aðfangakeðju slíkra aðila

• Rekur eða hýsir kerfi sem skipta máli fyrir rekstur evrópskra viðskiptavina

Hvað þýðir þetta fyrir viðskiptavini Wise?

Við hjá Wise veitum fyrirtækjum skýja- og netþjónustu, og tryggjum að kerfi þeirra uppfylli strangar kröfur um öryggi og rekstrartraust. Viðskiptavinir okkar vilja ekki einungis vernda gögn sín og þjónustu, þeir þurfa einnig að sýna fram á samræmi við lög og reglur.

Með því að vinna með Wise tryggir þú:

• Aukið netöryggi og skýr viðbragðsferli

• Samræmi við nýjustu reglugerðir ESB

• Ábyrgð stjórnenda og gagnsæi í ferlum

• Viðbúnað við rekstrartruflunum sem geta haft alvarleg áhrif

👉🏻 Kynntu þér nánar áhrif NIS2 og DORA á íslensk fyrirtæki í bloggfærslu hér.